米CERT／CCが指摘、複数のAndroidアプリで不備を確認

2014年9月19日、独立行政法人情報処理推進機構（IPA）セキュリティセンターは、Androidアプリ開発者を対象に、SSLサーバー証明書の検証処理の実装をするよう注意喚起を促した。

米国のCERT／CC （CERT Coordination Center）が複数のAndroidアプリにおいて、「SSL証明書を適切に検証しない脆弱性」を確認したとの発表を受けてのものとなる。

通信先から送信されたSSLサーバー証明書が適切かどうか検証されない場合、攻撃者にHTTPS通信の内容を盗聴または改ざんされる可能性が生まれる。CERT／CCは上記の脆弱性があるAndroidアプリ開発者への通知およびリストの公表を行っており、9月18日時点でリストに挙がっているのは617のアプリだ。

リストには複数の日本語名のアプリも含まれている。CERT／CCは調査を続行中で、リストアップされるアプリは今後も増加する見込みだ。

IPAでは「AnCoLe」を無償提供

IPAが無償で提供しているツール「AnCoLe」を使えば、ソースコードに「SSL証明書を適切に検証しない脆弱性」（SSL通信の実装不備）や点検を行うことができる。

機能の詳細やインストールについては外部リンクを参照のこと。