複数の人気スマホアプリに資格情報窃取の恐れ、確認を

「ハードコード」はプログラムのソースコードに設定値やデータを直接書き込むことを、さらに、「資格情報のハードコード」は資格情報をソースコードに平文で書き込むことを意味する。ハードコードされた情報は実行プログラムにそのまま保持されるため、多少の知識があれば誰でも簡単に取り出せる。つまり、資格情報をハードコードしたアプリは、資格情報を暗黙的に公開していると評価することができる。

クラウドサービスの資格情報が漏洩した場合、攻撃者はクラウドサービスに不正アクセスしてデータの窃取、改ざん、削除が可能となる。影響はアプリの動作不良だけではなく、ユーザーの個人情報流出など深刻な被害をもたらす可能性がある。
○対策

上記の脆弱なアプリは少なくとも10万回以上のダウンロード実績(Google Play)、またはレビュー件数(Appleストア)がある。それだけ多くのユーザーが利用していると考えられ、深刻な脅威となっている。

上記のアプリのように、資格情報を保持するアプリの開発者には、機密情報保持のベストプラクティスに従って実装することが推奨されている。具体的には環境変数の使用、機密情報管理ツールの使用、安全性の実証された暗号化などが推奨されている。

なお、この脆弱性に関して、ユーザーに推奨される回避策はない。アプリ開発者に修正を要望し、アップデートを待つ必要がある。
（後藤大地）