情報処理推進機構(IPA)は、Androidアプリの脆弱性の学習・点検ツール「AnCoLe(アンコール)」を、11日にIPAのWebサイトにて無償で公開した。
「AnCoLe」は、IPAへの届出が多い脆弱性を中心とした7テーマを対象に、対策方法を学習・点検できるAndroidアプリ開発者向けのツール。Eclipse上で動作し、Android端末の実機やエミュレータを使用する。
学習機能では、学習用アプリ(攻撃アプリおよびサンプルアプリ)を使って、脆弱性の被害を体験するとともに、脆弱性の原因や対策方法を学習し、サンプルアプリのソースコードの原因箇所の修正を行う。さらに、攻撃アプリで修正したサンプルアプリを攻撃し、対策の効果を確認する。
学習対象となる脆弱性は、「ファイルのアクセス制限不備」「コンポーネントのアクセス制限不備」「暗黙的Intentの不適切な使用」「不適切なログ出力」「WebViewの不適切な使用」「SSL通信の実装不備」「不必要な権限の取得」の計7種類。
点検機能としては、開発中のアプリを読み込んで、脆弱性や問題点の有無を調べる機能を備えており、点検結果に基づいたソースコード上の問題点の把握や、学習機能との連携による対策方法の学習ができる。
このほか、Androidアプリ開発の初心者に配慮して、ツールの使用にあたって最低限必要な知識として、Androidの仕組みやAndroidアプリの特徴、用語集を提供する。
なお、開発は一般競争入札によって決定した、タオソフトウェアが行った。
この記事は参考になりましたか?
- この記事の著者
-
CodeZine編集部(コードジンヘンシュウブ)
CodeZineは、株式会社翔泳社が運営するソフトウェア開発者向けのWebメディアです。「デベロッパーの成長と課題解決に貢献するメディア」をコンセプトに、現場で役立つ最新情報を日々お届けします。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
