モバイルアプリでもウイルスの脅威が増加! マカフィー、2014年第4四半期の脅威レポートを発表
ITライフハック / 2015年3月17日 9時0分
McAfee, Inc.のセキュリティ研究機関であるMcAfee Labs(マカフィー ラボ)は、2014年第4四半期の脅威レポートを発表した。
それによると、人気モバイルアプリのSSL脆弱性の未対応により、数百万のモバイルユーザーに脅威がおよぶ可能性があるほか、高度な攻撃手法を備えたAnglerエクスプロイトキットが2014年第4四半期に増加。2014年第4四半期には、モバイルマルウェア、不審なプログラム、ランサムウェア、署名付きマルウェアなど、一時的に減少傾向だったさまざまな脅威が再び増加しているとのことだ。
今回のレポートでは、モバイル向け脅威動向に関する詳細について考察しているほか、モバイルアプリの開発者がSSLの重大な脆弱性の修正を放置していることにより、数百万人の携帯電話ユーザーに脅威の影響がおよぶ可能性があると指摘。
また、徐々に広まりつつあるAnglerエクスプロイトキットの詳細を明らかにするとともに、システム設定を変更し、ユーザーに知られることなく個人情報を収集するプログラムなど、ますます危険性を増している不審なプログラム(PUP)について注意を促している。
McAfee Labsの調査によると、モバイルアプリの提供業者は最も基本的なSSLの脆弱性(不適切なデジタル証明書チェーンの検証)への対処が遅れていることが分かったとのこと。。2014年9月、米国カーネギーメロン大学のコンピュータ緊急対応チーム(CERT、Computer Emergency Response Team)は、この脆弱性を抱えているモバイルアプリのリストを発表。その中には、数百万のダウンロード件数を達成している人気のアプリも含まれていた。
2015年1月には、McAfee Labsが、CERTの発表した脆弱性(ログイン認証情報をセキュリティが確保されていない接続で送信)を抱えるモバイルアプリのうち、人気の上位25のアプリをテストしたところ、そのうち18のアプリでは、脆弱性が一般に公表され、また警告されたにも関わらず修正されていないことが判明。一部のケースでは、アプリ自体に複数回のバージョンアップが行われていながら、セキュリティの問題は放置されているアプリさえ存在した。
McAfee Labsが、それら脆弱性を抱えたアプリに対して、中間者(Man-in-the-Middle)攻撃を試したところ、安全とされているSSLセッションの最中に、共有情報の傍受が可能であることが確認された。脆弱なデータにはユーザー名およびパスワードが含まれており、さらに一部のアプリでは、ソーシャルネットワークやその他の第三者サービスのログイン認証情報も含まれていたとのこと。
こうしたモバイルアプリの脆弱性が実際に悪用されたという報告はないが、これらのアプリの累積ダウンロード数は数億におよんでおり、この膨大なダウンロード件数を考慮し、McAfee Labsでは、モバイルアプリ開発者がSSLの脆弱性を修正しないことにより、数百万人のユーザーが中間者(Man-in-the-Middle)攻撃のターゲットになっている可能性があると推測している。
■McAfee脅威レポート:2014年第4四半期
■マカフィー
■ITライフハック
■ITライフハック Twitter
■ITライフハック Facebook
■セキュリティに関連した記事を読む
・IOE時代の家庭内セキュリティ対策はこれでバッチリ!高度なセキュリティ機能を持つASUS「RT-AC87U」
・すべてを守る総合セキュリティソフト! 編集長がそれを選んだ理由とは?
・「攻撃遮断くん」Webセキュリティタイプが登場!横田社長が新サービスを語る
・なぜ、生体認証なのか? DDS三吉野社長にセキュリティの最前線を聞く ~ 第3回 情報漏洩問題の原因と対策 ~
・対応が遅れるほど被害は甚大に! 「第1回情報セキュリティ業界動向勉強会」レポート
外部リンク
この記事に関連するニュース
-
2024年上半期サイバーセキュリティレポートを公開 脆弱性を悪用したカスタムツールGooseEggや世界的シェアを持つWordPressを狙った攻撃事例を解説
PR TIMES / 2024年9月24日 14時15分
-
McAfeeが新たなAndroidのマルウェア「SpyAgent」を発見
PR TIMES / 2024年9月19日 14時15分
-
CERT C++ Coding Standard への対応を開始 セキュアコーディング学習プラットフォーム「Secure Code Warrior」
PR TIMES / 2024年9月8日 2時40分
-
<Kasperskyサイバー脅威レポート: 2024年第2四半期は、脆弱性を持つドライバーを使用しWindowsを狙う攻撃が23%増加したことを確認>
PR TIMES / 2024年8月30日 16時40分
-
ゼットスケーラー、フィッシングに関する調査結果を発表。日本企業への攻撃は2,700万件以上でアジア太平洋地域3位に
PR TIMES / 2024年8月28日 14時15分
ランキング
-
1新しいフィッシング攻撃、QRコードを読み取ると暗号資産が窃取される
マイナビニュース / 2024年9月24日 18時35分
-
2光浦靖子、誤って“相手への愚痴”報じられ……“大泣き状態”でショックあらわ「言ってもないこと非難されるとは」
ねとらぼ / 2024年9月24日 17時40分
-
3待望の新型トラックボールは買いか? ロジクール「MX Ergo S」と「Ergo M575SP」の実機をチェック
ITmedia PC USER / 2024年9月24日 16時5分
-
4「改悪えぐい」「ブロックの意味ない」 Xのブロック機能変更に不満続出 ブロックされても閲覧は可能に
ねとらぼ / 2024年9月24日 12時45分
-
5「来るときが来たのか」ガンダム声優、ジュドーの声が矢尾一樹→KENNに アムロは古谷徹続投 「めちゃくちゃ『理解』る」
ねとらぼ / 2024年9月24日 21時6分
記事ミッション中・・・
記事にリアクションする
記事ミッション中・・・
記事にリアクションする
エラーが発生しました
ページを再読み込みして
ください