サイバー攻撃者の餌食になりやすいモバイルアプリの特長とは？

ランサムウェア攻撃やフィッシング攻撃が注目を集めている。だが、危険な攻撃はそれだけではない。モバイルアプリにも危険が潜む。

[David Jones，Cybersecurity Dive]

　サイバー攻撃が狙うターゲットはさまざまだ。一気に多額の身代金を奪うランサムウェア攻撃が目立つものの、それだけではない。ユーザー数の多いモバイルアプリケーションも攻撃対象だ。

サイバー攻撃者が"大好きな"危ないモバイルアプリとは

　ある調査で、サイバー攻撃者に狙われやすいモバイルアプリの特長が分かった。

　ユーザー数が多く、現金を扱うモバイルアプリケーションが特に危険だ。例えばスポーツに関連するアプリケーションだ。

　スポーツ関連の賭け事の一種「モバイルスポーツベッティング」や、実在するスポーツ選手から成る架空のチームを作って他のユーザーと競う「ファンタジースポーツ」の人気が爆発的に高まっている。米国では何百万人ものファンがアプリケーションをダウンロードして人気のスポーツイベントに賭けたり、お気に入りの選手の成績に賭けたりしている。経済産業省によれば、日本でもファンタジースポーツが広がっている（注1）。

　American Gaming Associationは2022年の第56回スーパーボウルのロサンゼルス・ラムズ対シンシナティ・ベンガルズの試合で、3100万人以上の米国人が総額76億ドルを賭けたと推定した（注2）。

　Synopsysのジョナサン・クヌードセン氏（Synopsys Cybersecurity Research Center《CyRC》のグローバルリサーチの責任者）は、モバイルスポーツベッティングアプリケーションのセキュリティの調査に乗り出した理由として、こうしたアプリケーションの人気が急上昇していることがリスク増大につながることを挙げた。

　「多くの企業は安全に動作するアプリケーションを作ることよりも、必要な機能がうまく動作するものを作ることに重点を置いている。オープンソースのコンポーネントをビルディングブロックとして使用すれば、開発チームは機能を迅速に実装できる。ただし、オープンソースのコンポーネントは、セキュリティリスクを最小限に抑えるために適切に管理しなければならない」（クヌードセン氏）

どの程度の脆弱性が含まれているのか

　クヌードセン氏の提言は守られていない。CyRCが2023年2月7日に発表した研究結果によれば（注3）、モバイルスポーツベッティングのアプリケーションは危険だ。なぜならバージョンが古いオープンソースソフトウェアコンポーネントを使用しているからだ。

　CyRCの研究者は「Google Playストア」から2150万回以上ダウンロードされた人気のある10種類のアプリケーションを分析した。各アプリケーションには平均10個の脆弱（ぜいじゃく）なコンポーネントが含まれており、1アプリケーション当たり179個の脆弱性があることが判明した。これは、1アプリケーションが平均125個のコンポーネントを備えるということに基づく数字だ。

　この研究では2〜3年前のオープンソースコンポーネントを「古い」としている。実際には2010年のコンポーネントも発見されている。

　今回の調査では50万ダウンロードを超えるトップアプリケーションだけを選んでおり、特定のアプリケーションを意図的に指定することはしていない。アプリケーションをそれぞれ、2022年12月に1回、2023年1月に2回ダウンロードして分析した。

状況は悪化している

　今回の調査対象となったアプリケーションは、2021年に実施されたモバイルアプリケーションに関するより広範な調査で調べたものよりも著しくリスクが高いというのが、CyRCの研究者の警告だ。先行するレポートでは、3300以上のモバイルアプリケーションを調査した結果、脆弱なコンポーネントを含んでいるものは63％にとどまり、1つのアプリケーションに含まれる脆弱性は39個に過ぎない。

出典：Sports betting apps fumble open source, placing users at risk（Cybersecurity Dive）

注1：スポーツDXレポート（概要版）

注2：Record 31.4 Million Americans to Wager $7.61B on Super Bowl LVI

注3：CyRC special report: Secure apps? Don’t bet on it