- トレンドマイクロ セキュリティブログ - https://blog.trendmicro.co.jp -

脆弱性「Heartbleed」、モバイルアプリにも影響

Posted By Mobile Threats Analyst - Veo Zhang On In モバイル,サイバー犯罪,脆弱性,TrendLabs Report | Comments Disabled

2014年4月7日(米国時間)、「OpenSSL」の拡張機能「Heartbeat」に重大な脆弱性「Heartbleed [1]」が存在することが発覚し、多くの Webサイトやサーバ管理者は迅速な対応を求められました。これには説得力のある根拠があります。ソフトウェア開発プロジェクトのための共有Webサービスを提供する「Github [2]」の調査で、1万サイトのうち 600以上のサイトが、この脆弱性の影響を受けることが分かりました。これは、Webサイト解析ツールなどを提供している「Alexa」によるランキングで上位 1万サイトを対象にスキャンニングを行ったものです。スキャニング調査時、影響を受けた Webサイトには、「Yahoo!」や写真共有サイト「Flickr」、出会い系ソーシャルネル・ネットワーキング・サービス「OKCupid」、音楽情報誌「Rolling Stone」、ITやテクノロジー情報サイト「Ars Technica」が含まれていました。

この脆弱性に関する報道が拡大していくと、こんな質問を受けるようになります。「モバイル端末も影響を受けるのか」と。答えは「Yes」です。

モバイルアプリも、Webサイトと同様に否応なく Heartbleed の影響を受けます。なぜなら、アプリも、さまざまな機能を利用するために頻繁にサーバや Webサービスに接続するからです。4月11日の記事「脆弱性「Heartbleed」、トップ 100万ドメインから選別された TLDの 5% に影響」 [3]で取り上げたように、かなりの数のドメインがこの脆弱性の影響を受けています。

例えば、アプリ内での買い物の決済で、クレジットカードの情報を求められたとします。必要な情報を入力すると、決済が完了します。そして、そのクレジットカード情報は、例えばあなたがゲームをしている間も、決済を行ったサーバ内に保存され、ある程度の期間そこに留まることになります。そうした場合、サイバー犯罪者は Heartbleed を利用して、そのサーバを狙い、クレジットカード番号などの情報を収集することができます。これは非常に単純で簡単なことです。

アプリ内で販売を行っていない場合はどうでしょうか。脆弱性の影響は受けないのでしょうか。いいえ、たとえクレジットカードを利用しなくても、オンライン上のサーバに接続する限り、影響があります。例えば、無料の懸賞に応募するために、ソーシャル・ネットワーク・サービス(SNS)上で「Like」や「Follow」を求められることがあります。

そして、「Like」や「Follow」をクリックすることに決め、ボタンを押します。その次に起こり得ることは、アプリ内ブラウザを通じて Webサイトが開き、SNS にログインするように誘導されることです。その SNS が Heartbleed の脆弱性を抱えているかはわかりませんが、その可能性があるため、危険性も高いと言えます。

トレンドマイクロがこの問題をさらに詳しく解析し、人気のモバイルアプリで利用されている Webサービスを調査したところ、いまだこの脆弱性が存在することが判明しました。

弊社が調査した「Google Play」内の約 39万のアプリのうち、4月10日時点で、およそ 1,300のアプリが脆弱性を抱えるサーバに接続していたことが判明しました。それらのアプリの中には、銀行関連アプリが 15、オンライン支払関連アプリが 39、そしてオンラインショッピングのアプリが 10 が含まれています(その後の追跡調査で、4月11日時点で 7,000 のアプリが脆弱性を抱えるサーバに接続していることが判明しました)。その他にも、多くのユーザが日常的に利用するいくつかの人気のアプリもありました。例えば、インスタントメッセンジャのアプリや、健康関連アプリ、キーボード入力アプリなどです。最も懸念されるのは、個人情報や口座情報を扱う支払関連のモバイルアプリです。モバイルアプリには、今やサイバー犯罪者が収集するだけの十分な情報があります。

Heartbleed に対して、いったい何ができるでしょうか。残念ながら、ユーザにできることはあまりありません。パスワードを変更するのも 1つの手ですが、アプリ開発者や Webサービスプロバイダーが、OpenSSL を修正済みバージョンに更新する、もしくは少なくとも問題となっている Heartbeat を無効にするなどの対処を行わない限り、役に立ちません。

アプリ開発者がこの脆弱性に対処した更新プログラムを公開するまでは、ユーザはアプリ内での購入や銀行に関連した取引を控えるようにして下さい。弊社は、Heartbleed に関する情報を引き続き更新していきます。

参考記事:

  • Heartbleed Bug – Mobile Apps are Affected Too [4]
    by Veo Zhang [5] (Mobile Threats Analyst)

    •  翻訳:品川 暁子(Core Technology Marketing, TrendLabs)

    Related posts:

    1. スマホを使用不能の「文鎮化」させるAndroidのバグを確認 [6]
    2. Android端末のアプリ更新での設計上不具合、中国のユーザに影響か。個人情報収集の恐れも [7]
    3. 乗っ取られる「Apple ID」 個人情報を守るためには? [8]
    4. 「Masque Attack」で明らかになった別の問題点:情報が暗号化されていない iOSアプリを確認 [9]