デジタルセキュリティ企業viaForensicsの調査は、スマートフォンユーザーデータの脆弱性を如実に示しています。viaForensicsはAndroidとiOSで動作する人気の消費者向けアプリ100種類を評価した結果、76%がユーザー名を、10%がパスワードをプレーンテキストで保存していることがわかりました。この10%には、LinkedIn、Skype、Hushmailといった人気サイトも含まれていました。
ユーザー名とパスワードの両方をプレーンテキストで保存しているアプリケーションはわずか 10 % で、ハッキングに対して脆弱ですが、ユーザー名のみをそのように保存している 76 % のアプリケーションもハッキングに対して脆弱です。
「多くのシステムではユーザー名とパスワードのみが必要なため、ユーザー名が分かれば問題の半分は解決したことになる」と報告書は述べている。また、多くのユーザーがユーザー名を使い回す傾向があるため、悪意のある人物がその情報を入手した場合、波及効果をもたらす可能性があると指摘している。例えば、Facebookの情報は最終的にクレジットカード情報につながる可能性がある。
さらに憂慮すべきは、パスワードの暗号化に失敗するアプリケーションが 10 パーセントあることだ。「デバイスが頻繁に紛失または譲渡され、マルウェアがデータを盗み取る可能性があるため、消費者にリスクをもたらす」とレポートは述べている。
モバイル消費者向けアプリケーションのセキュリティに関しては、調査でテストされたソーシャル ネットワーキング アプリケーションが最も悪く、74% が「不合格」となり、パスワードやアカウント番号などの機密データが盗まれたことが示されました。
他のアプリケーションカテゴリーは比較的良好な結果でしたが、圧倒的な差はありませんでした。生産性向上アプリでは43%が失敗に終わり、モバイル金融アプリでは25%、小売アプリでは14%が失敗に終わりました。
小売業界の安全性はかなり堅固に見えるものの、レポートでは、実際にテストに「合格」した小売業界向けアプリケーションは一つもなかったと指摘しています。むしろ、大多数のアプリケーションはviaForensicsから「警告」評価を受けており、アプリケーションのデータはスマートフォン上に存在していたものの暗号化されていなかったことを示しています。
また、Amazon.com、Best Buy、Facebook、Twitter のモバイル ソフトウェアなど、他の多くの人気アプリケーションも、機密性のないデータを暗号化されていない形式で保存していると、この報告書は述べています。
どうすればいいでしょうか?セキュリティ専門家は、すべてのパスワードに文字と数字を使用すること、実際に意味を持つパスワードは避けること、異なるアプリケーションで同じパスワードやユーザー名を使用しないこと、そしてパスワードを書き留めないこと(特にオンラインの場合は、第三者に漏洩される可能性があるため)を推奨しています。
個人用、業務用を問わず、すべてのアプリケーションがviaForensicsの評価に合格していないようです。viaForensicsはセキュリティ企業であり、Webのセキュリティ上の脆弱性を広く世間に知らしめることに尽力していますが、これらの数字が示す傾向は、消費者も企業も共に真剣に受け止めるべきです。
