モバイルアプリでもウイルスの脅威が増加! マカフィー、2014年第4四半期の脅威レポートを発表
ITライフハック / 2015年3月17日 9時0分
McAfee, Inc.のセキュリティ研究機関であるMcAfee Labs(マカフィー ラボ)は、2014年第4四半期の脅威レポートを発表した。
それによると、人気モバイルアプリのSSL脆弱性の未対応により、数百万のモバイルユーザーに脅威がおよぶ可能性があるほか、高度な攻撃手法を備えたAnglerエクスプロイトキットが2014年第4四半期に増加。2014年第4四半期には、モバイルマルウェア、不審なプログラム、ランサムウェア、署名付きマルウェアなど、一時的に減少傾向だったさまざまな脅威が再び増加しているとのことだ。
今回のレポートでは、モバイル向け脅威動向に関する詳細について考察しているほか、モバイルアプリの開発者がSSLの重大な脆弱性の修正を放置していることにより、数百万人の携帯電話ユーザーに脅威の影響がおよぶ可能性があると指摘。
また、徐々に広まりつつあるAnglerエクスプロイトキットの詳細を明らかにするとともに、システム設定を変更し、ユーザーに知られることなく個人情報を収集するプログラムなど、ますます危険性を増している不審なプログラム(PUP)について注意を促している。
McAfee Labsの調査によると、モバイルアプリの提供業者は最も基本的なSSLの脆弱性(不適切なデジタル証明書チェーンの検証)への対処が遅れていることが分かったとのこと。。2014年9月、米国カーネギーメロン大学のコンピュータ緊急対応チーム(CERT、Computer Emergency Response Team)は、この脆弱性を抱えているモバイルアプリのリストを発表。その中には、数百万のダウンロード件数を達成している人気のアプリも含まれていた。
2015年1月には、McAfee Labsが、CERTの発表した脆弱性(ログイン認証情報をセキュリティが確保されていない接続で送信)を抱えるモバイルアプリのうち、人気の上位25のアプリをテストしたところ、そのうち18のアプリでは、脆弱性が一般に公表され、また警告されたにも関わらず修正されていないことが判明。一部のケースでは、アプリ自体に複数回のバージョンアップが行われていながら、セキュリティの問題は放置されているアプリさえ存在した。
McAfee Labsが、それら脆弱性を抱えたアプリに対して、中間者(Man-in-the-Middle)攻撃を試したところ、安全とされているSSLセッションの最中に、共有情報の傍受が可能であることが確認された。脆弱なデータにはユーザー名およびパスワードが含まれており、さらに一部のアプリでは、ソーシャルネットワークやその他の第三者サービスのログイン認証情報も含まれていたとのこと。
こうしたモバイルアプリの脆弱性が実際に悪用されたという報告はないが、これらのアプリの累積ダウンロード数は数億におよんでおり、この膨大なダウンロード件数を考慮し、McAfee Labsでは、モバイルアプリ開発者がSSLの脆弱性を修正しないことにより、数百万人のユーザーが中間者(Man-in-the-Middle)攻撃のターゲットになっている可能性があると推測している。
■McAfee脅威レポート:2014年第4四半期
■マカフィー
■ITライフハック
■ITライフハック Twitter
■ITライフハック Facebook
■セキュリティに関連した記事を読む
・IOE時代の家庭内セキュリティ対策はこれでバッチリ!高度なセキュリティ機能を持つASUS「RT-AC87U」
・すべてを守る総合セキュリティソフト! 編集長がそれを選んだ理由とは?
・「攻撃遮断くん」Webセキュリティタイプが登場!横田社長が新サービスを語る
・なぜ、生体認証なのか? DDS三吉野社長にセキュリティの最前線を聞く ~ 第3回 情報漏洩問題の原因と対策 ~
・対応が遅れるほど被害は甚大に! 「第1回情報セキュリティ業界動向勉強会」レポート
外部リンク
この記事に関連するニュース
-
マカフィー、「ディープフェイクが選挙に及ぼす影響に関する調査」を発表
PR TIMES / 2024年4月23日 18時45分
-
モバイルアプリのサイバーセキュリティー:拡大する脅威環境とHyperG Smart Securityのソリューション
共同通信PRワイヤー / 2024年4月18日 16時29分
-
チェック・ポイント・リサーチ、2024年3月に最も活発だったマルウェアを発表 Remcosの新たな展開手法を発見、国内ではFormbookが引き続き首位に
PR TIMES / 2024年4月16日 16時15分
-
Jamf、Apple製品を中心とするサイバー脅威トレンドを分析した年次レポート「セキュリティ360」日本語版を発表
PR TIMES / 2024年4月16日 14時45分
-
ダークトレース、プロアクティブなセキュリティ運用を独自のAIで実現する新プラットフォーム Darktrace ActiveAI Security Platform(TM)を発表
@Press / 2024年4月12日 10時0分
ランキング
-
1「そっち使うの?!」「これは天才」 さびだらけの鉄くぎをぐつぐつ煮込むと……? DIYに役立つ“まさかの使い道”が200万再生
ねとらぼ / 2024年5月2日 12時15分
-
2Xの生成AI「Grok」で話題を要約、「Stories on X」提供開始
マイナビニュース / 2024年5月4日 9時45分
-
3『ポケモンGO』普段、日本じゃゲットできないポケモンに会える!48時間の“激レア色違い”が熱い「ライバルイベント」ポイントまとめ
インサイド / 2024年5月4日 0時0分
-
4「PSVR2」を自腹で買って1年2ヶ月……プレイ感や不満、足りない点を忖度抜きで語る! 現状を変える“2つのポイント”にも注目
インサイド / 2024年5月4日 12時0分
-
5『ディアブロ IV』5月15日開幕のシーズン4「武装再錬」を紹介する映像公開―アイテムに史上最大の変更が加わる
Game*Spark / 2024年5月4日 17時30分
記事ミッション中・・・
記事にリアクションする
記事ミッション中・・・
記事にリアクションする
エラーが発生しました
ページを再読み込みして
ください