【20-D-5】　事例から学ぶAndroidアプリのセキュアコーディング「SSL/TLS証明書検証の現状と対策」

2014年9月にCERT/CCがAndroidアプリのSSL/TLSサーバ証明書検証不備の脆弱性についての調査結果を公表したり、国内でもその脆弱性を含んだAndroidアプリの情報が多数公表されたりしました。現在様々な種類のAndroidアプリがリリースされています。それら多くのアプリにおけるSSL/TLSサーバ証明書検証のの実装を調査し、その現状と対策方法を実例を元に解説します。

熊谷 裕志〔JPCERTコーディネーションセンター〕

一般社団法人 JPCERTコーディネーションセンター
情報流通対策グループ 脆弱性解析チーム リードアナリスト

ベンチャ企業にてWEBサイトのデザインやシステム開発、Androidアプリケーションの開発などに従事し、2011年4月よりJPCERTコーディネーションセンターにて、脆弱性情報の分析やセキュアコーディングの普及活動に携わっています。