McAfee, Inc.のセキュリティ研究機関であるMcAfee Labs(マカフィー ラボ)は、2014年第4四半期の脅威レポートを発表した。

それによると、人気モバイルアプリのSSL脆弱性の未対応により、数百万のモバイルユーザーに脅威がおよぶ可能性があるほか、高度な攻撃手法を備えたAnglerエクスプロイトキットが2014年第4四半期に増加。2014年第4四半期には、モバイルマルウェア、不審なプログラム、ランサムウェア、署名付きマルウェアなど、一時的に減少傾向だったさまざまな脅威が再び増加しているとのことだ。



今回のレポートでは、モバイル向け脅威動向に関する詳細について考察しているほか、モバイルアプリの開発者がSSLの重大な脆弱性の修正を放置していることにより、数百万人の携帯電話ユーザーに脅威の影響がおよぶ可能性があると指摘。

また、徐々に広まりつつあるAnglerエクスプロイトキットの詳細を明らかにするとともに、システム設定を変更し、ユーザーに知られることなく個人情報を収集するプログラムなど、ますます危険性を増している不審なプログラム(PUP)について注意を促している。

McAfee Labsの調査によると、モバイルアプリの提供業者は最も基本的なSSLの脆弱性(不適切なデジタル証明書チェーンの検証)への対処が遅れていることが分かったとのこと。。2014年9月、米国カーネギーメロン大学のコンピュータ緊急対応チーム(CERT、Computer Emergency Response Team)は、この脆弱性を抱えているモバイルアプリのリストを発表。その中には、数百万のダウンロード件数を達成している人気のアプリも含まれていた。

2015年1月には、McAfee Labsが、CERTの発表した脆弱性(ログイン認証情報をセキュリティが確保されていない接続で送信)を抱えるモバイルアプリのうち、人気の上位25のアプリをテストしたところ、そのうち18のアプリでは、脆弱性が一般に公表され、また警告されたにも関わらず修正されていないことが判明。一部のケースでは、アプリ自体に複数回のバージョンアップが行われていながら、セキュリティの問題は放置されているアプリさえ存在した。

McAfee Labsが、それら脆弱性を抱えたアプリに対して、中間者(Man-in-the-Middle)攻撃を試したところ、安全とされているSSLセッションの最中に、共有情報の傍受が可能であることが確認された。脆弱なデータにはユーザー名およびパスワードが含まれており、さらに一部のアプリでは、ソーシャルネットワークやその他の第三者サービスのログイン認証情報も含まれていたとのこと。

こうしたモバイルアプリの脆弱性が実際に悪用されたという報告はないが、これらのアプリの累積ダウンロード数は数億におよんでおり、この膨大なダウンロード件数を考慮し、McAfee Labsでは、モバイルアプリ開発者がSSLの脆弱性を修正しないことにより、数百万人のユーザーが中間者(Man-in-the-Middle)攻撃のターゲットになっている可能性があると推測している。


McAfee脅威レポート:2014年第4四半期
マカフィー

ITライフハック
ITライフハック Twitter
ITライフハック Facebook

セキュリティに関連した記事を読む
IOE時代の家庭内セキュリティ対策はこれでバッチリ!高度なセキュリティ機能を持つASUS「RT-AC87U」
すべてを守る総合セキュリティソフト! 編集長がそれを選んだ理由とは?
「攻撃遮断くん」Webセキュリティタイプが登場!横田社長が新サービスを語る
なぜ、生体認証なのか? DDS三吉野社長にセキュリティの最前線を聞く ~ 第3回 情報漏洩問題の原因と対策 ~
対応が遅れるほど被害は甚大に! 「第1回情報セキュリティ業界動向勉強会」レポート

マカフィー インターネットセキュリティ 2015 3年3台版(最新) [License]