~米国CERT/CC (*1)が脆弱性のある617のAndroidアプリを指摘 (*2)。今後さらに指摘される見込み~ IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)セキュリティセンターは、米国のCERT/CCが2014年9月3日、複数のAndroidアプリに「SSL証明書を適切に検証しない脆弱性」を確認したとの発表を受け、Androidアプリ開発者に対して注意喚起を発することとしました。 HTTPS(HTTP over SSL/TLS)でサーバーと通信するAndroidアプリは、HTTPS通信の開始時に通信先から送信されたSSLサーバー証明書が適切か検証する必要があります。本来、HTTPS通信では、利用者とウェブサイトの通信経路上に攻撃者が割り込み、通信内容を盗聴したり改ざんしようとする攻撃(中間者攻撃)を防ぐことができます。しかし、開発者が提供するAndroidアプリが「S