髙橋 望 
スマートフォンは毎日持ち歩くものであるから、当然ながらセキュリティへの配慮は万全を期したいものだが、非常に残念な話である。
今回、米セキュリティ会社のBluebox Securityが発表した脆弱性は「アプリケーションのデジタル署名を書き換えることなくAPKファイルのコードを書き換えることができる」というものだ。
デジタル署名はインストールされたアプリケーションが正当か(改ざんされていないか)を確認する際に利用するものだが、今回の脆弱性を利用すると、攻撃者によって正当なアプリケーションのコードが書き換えられても(改ざんされても)システムはアプリケーションの改ざんを検知することができない。
この問題により、アプリケーションのコードが改ざんされ、気がつかないうちに悪意のあるコードが混入される可能性がある。すると、正規のアプリケーションであるのにも関わらず不正な動作を行い、データを破壊・流出、など多くの危険にさらされることになる。
ただし TechCrunch Japan によると、現在この脆弱性を利用した悪意のあるアプリケーションはGoogle Playへのアップロードが不可能になったうえ、現在のPlayストア上では該当する脆弱性を利用した悪意のあるプログラムは見つからなかったそうだ。
わたしたちにできることは?
ここからが肝要なポイントである。私たちがなるべくこの攻撃を受けないようにするためにできることはあるのだろうか。
Bluebox Securityのブログにも掲載されているが、この問題に対処する簡単な方法は「ダウンロードするアプリケーションに今まで以上に注意を払う」ことである。
アプリケーションをインストールする際にアプリケーションの開発者や、ライセンス(不正に配布されているものでないか)を確認するだけで、大幅にリスクを軽減することができる。
特にいわゆる野良マーケットで配布されている不正なライセンスのアプリケーションには、しばしばマルウェア混入されている。今回の問題もまた同様である。
またこの脆弱性を修正するプログラムがリリースされた場合は速やかにパッチを当てることも重要である。自分が利用しているスマートフォンのアップデートの情報にはしっかりを目を配りたい。
