アプリのセキュリティというと「マルウェアが（意図するかに関わらず）組み込まれるか」あたりが問題になりがちですが、実際には、多くのアプリが背後でサーバと通信している以上、サーバ側も問題となります。

しかし、一般にアプリサーバはブラウザでアクセスしないためか、その辺をちゃんと考えてないところも多いようです。

モバイル・エンタープライズ系のセキュリティ企業Appthorityの報告書では、このサーバ問題を扱っています。

「1000のアプリのバックエンドサーバ、ユーザのデータをテラバイト単位で漏洩」

www.bleepingcomputer.com

（ネタ元）

「2017年第2四半期 モバイル脅威レポートのダウンロード 「HospitalGown」脆弱性：バックエンドからの漏洩によりエンタープライズ級企業のデータは危険な状態」

info.appthority.com

同社は当初、MongoDBやRedis、MySQLなど多数のサービスを調査する予定でしたが、あまりの膨大さに調査範囲をElasticsearchに限定しました。それでも21000のサーバが何らの認証も設定しないまま放置されていることが判明しました。

これらのサーバで公開されてしまっているデータの総量は43TBにも達し、その中には個人を特定可能な情報も含まれます。

さらに詳細調査として39個のアプリに限定したところ、これらだけで163.53GBものデータが（Elasticsearchに限らず）漏洩していることが分かりました。ユーザ数としては2億8000万件です。

Appthorityでは調査結果を受けて、大半のデータは既に悪意ある者により盗まれ、販売されている可能性が高いと結論しています。

同社はエンタープライズ級の企業を想定していますが、この調査結果にあるサーバの危うさは他の分野でも共通する可能性が高いでしょう。APIをJSONのみに限定したところで問題があることを考慮するべきでしょう。