多数のAndroidアプリにSSLサーバー証明書の検証不備、IPAが開発者に確認呼び掛け

　独立行政法人情報処理推進機構（IPA）セキュリティセンターは19日、米CERT/CCが複数のAndroidアプリに「SSL証明書を適切に検証しない脆弱性」を確認したとの発表を受け、Androidアプリ開発者に対して注意喚起を行った。

　CERT/CCは米国時間9月3日、複数のAndroidアプリにSSL証明書を適切に検証しない脆弱性があったとする調査結果を発表。CERT/CCは脆弱性のあるAndroidアプリ開発者への通知およびリストの公表を行っており、9月18日時点でのリストには、「Yahoo!ボックス」など複数の日本語名のアプリを含む617のアプリが記載されている。CERT/CCは自動化された大規模な調査を継続中で、今後も公表されるアプリが増える見込みだという。

　HTTPSでサーバーと通信するAndroidアプリは、HTTPS通信の開始時に通信先から送信されたSSLサーバー証明書が適切かを検証する必要がある。HTTPS通信では、利用者とウェブサイトの通信経路上に攻撃者が割り込み、通信内容を盗聴したり改ざんしようとする攻撃（中間者攻撃）を防ぐことができるが、AndroidアプリがSSLサーバー証明書を適切に検証していない場合、中間者攻撃を防ぐことができず、攻撃者にHTTPS通信の内容を盗聴または改ざんされる可能性がある。

中間者攻撃により不正なSSLサーバー証明書を用いて盗聴されるイメージ

　IPAではAndroidアプリ開発者に対して、CERT/CCからの通知の有無にかかわらず、HTTPS通信を行うAndroidアプリについては「SSL証明書を適切に検証しない脆弱性」の有無について点検を行い、脆弱性があれば速やかに修正しアップデートを行うよう呼び掛けている。

　また、IPAではAndroidアプリの脆弱性の学習・点検ツール「AnCoLe」を無償提供しており、AnCoLeを用いることでソースコードにSSL証明書を適切に検証しない脆弱性が無いかの点検が行える。

　また、この脆弱性はWindowsやiOSのアプリにも存在する可能性があるとして、Androidアプリに限らず、サーバーとのHTTPS通信を行うアプリケーションを提供する開発者は、アプリケーションのHTTPS通信の開始時にはSSLサーバー証明書の検証処理を実装することを求めている。