OWASP
OWASP Mobile Top 10
モバイルアプリケーション固有のセキュリティリスク Top 10。安全でないデータ保存や不適切な認証など、iOS / Android アプリ開発で注意すべき脅威を網羅
OWASP Mobile Top 10 とは
OWASP Mobile Top 10 は、iOS・Android などのモバイルアプリケーションに特化したセキュリティリスクのランキングです。
端末上のデータ保存、バイナリの改ざん、不適切なプラットフォーム API の使用など、モバイル固有の脅威を体系化しています。
最新版は 2024 年版で、2016 年版から大幅に刷新されました。
モバイルアプリがビジネスの中核を担う現在、サーバーサイドだけでなくクライアントサイドのセキュリティも等しく重要です。
ランキング推移一覧
| リスク | 2024 | 2016 | 2014 | 関連脅威 |
|---|---|---|---|---|
| 不適切なクレデンシャルの使用 | 1 | -- | -- | |
| 不適切なサプライチェーンセキュリティ | 2 | -- | -- | |
| 安全でない認証・認可 | 3 | -- | -- | |
| 入力・出力の検証不足 | 4 | -- | -- | |
| 安全でない通信 | 5 | 3 | -- | |
| 不適切なプライバシー管理 | 6 | -- | -- | |
| 不十分なバイナリ保護 | 7 | -- | -- | |
| セキュリティの設定ミス | 8 | -- | -- | |
| 安全でないデータストレージ | 9 | 2 | 2 | |
| 不十分な暗号化 | 10 | 5 | -- | |
| 不適切なプラットフォーム使用 | -- | 1 | -- | |
| 安全でない認証 | -- | 4 | -- | |
| 安全でない認可 | -- | 6 | -- | |
| クライアントコード品質 | -- | 7 | -- | |
| コード改ざん | -- | 8 | -- | |
| リバースエンジニアリング | -- | 9 | -- | |
| 不要な機能 | -- | 10 | -- | |
| 脆弱なサーバーサイド制御 | -- | -- | 1 | |
| 不十分なトランスポート層保護 | -- | -- | 3 | |
| 意図しないデータ漏洩 | -- | -- | 4 | |
| 不十分な認証・認可 | -- | -- | 5 | |
| 暗号化の不備 | -- | -- | 6 | |
| クライアントサイドインジェクション | -- | -- | 7 | |
| 信頼できない入力によるセキュリティ判定 | -- | -- | 8 | |
| 不適切なセッション管理 | -- | -- | 9 | |
| バイナリ保護の欠如 | -- | -- | 10 |
関連トピック
OAuth 2.0- サードパーティにパスワードを渡さずにリソースへのアクセスを委譲する認可フレームワーク。 TLS/SSL(通信暗号化)- インターネット通信を暗号化するプロトコル。HTTPS の基盤技術であり、盗聴・改ざん・なりすましを防ぐ。 HTTPS の導入- HTTP に TLS を組み合わせた暗号化通信プロトコル。盗聴・改ざん・なりすましを防ぐ Web セキュリティの基盤。 電子証明書と PKI- 公開鍵の所有者を証明するデジタル文書。認証局(CA)が発行し、TLS/SSL や電子署名の信頼基盤となる。 サプライチェーン攻撃- パッケージマネージャーやビルドパイプラインを経由した攻撃。依存関係の汚染、タイポスクワッティング、依存関係かく乱を解説。 DB 暗号化- データベースに保存されたデータを暗号化し、不正アクセスやメディアの物理的な盗難からデータを保護する技術。 共通鍵暗号(AES 等)- 送信者と受信者が同じ鍵を共有して暗号化・復号を行う方式。AES が現在の標準。高速だが鍵配送に課題がある。 ハッシュ関数(SHA-256 等)- 任意長のデータから固定長のハッシュ値を生成する一方向関数。パスワード保存やデータ整合性の検証に使われる。 サーバーハードニング- サーバーの攻撃対象領域を最小化するセキュリティ強化プロセス。不要なサービスの無効化、パッチ管理、アクセス制御の適切な設定を含む。