カテゴリ|情報セキュリティ

2017/10/31

クラッキングに備えるアプリ自動監視システムの利点とは

  • このエントリーをはてなブックマークに追加

POINT この記事のポイント

  • スマホアプリから個人情報を抜き取ろうとする攻撃が脅威となる
  • クラッキング回避・防止の手法は大きく3つ
  • アプリのセキュリティ対策は企業活動に関わる重要な課題

スマホ普及とともに脅威となるクラッキング

総務省の「情報通信白書」(平成28年版)によると、スマートフォンの世帯保有率は72.0%にのぼっているそうです。前年比で7.8ポイント増加しており、減少傾向にあるパソコン保有率(76.8%)を今にも追い抜きそうな勢いです。

これを背景にスマホユーザーにとって脅威となっているのが、クラッキング(ネットワークを介したシステムの不正利用)です。2017年5月に情報処理推進機構(IPA)が発表した「情報セキュリティ10大脅威 2017」では、「スマートフォンやスマートフォンアプリを狙った攻撃」が個人部門第3位にランキングされました。また2016年には日本語対応のモバイル向けランサムウェア「FLocker」(エフロッカー)が見つかり、大きな話題を呼んだのも記憶に新しいところです。

クラッキングの脅威で問われるのは、アプリを提供する側―すなわち企業の社会的責任です。スマートフォンはユーザーのアドレス帳、動画や写真、メール、決済情報など、さまざまな個人情報のかたまりです。万が一、自社が提供するアプリに脆弱性があった、あるいは、不正なプログラムが組み込まれていたとしたら……。店舗、ECサイトなど複数のチャネルを横断したアプリだった場合は、緊急メンテナンスによるサービス停止も余儀なくされます。

クラッキング回避・防止の手法とは?

では、こうしたクラッキングへの対策はどのように講じればよいのでしょうか?

そもそもクラッキングは、当該アプリの登録情報や企業の知的財産だけでなく、ユーザーのスマホ内に登録されたさまざまな情報を流出させるものです。従来のWebサービスとは異なり、プログラム自体が利用者の端末=“外部”に格納される点に、大きなリスクをはらんでいます。

そうした自体に対処すべく、クラッキングを回避・防止する対策として次のような手法が取られています。

@プログラムを構成するソースコードの分析
一般にアプリ開発においては、Web制作などと同様、自由に利用・改変・頒布が可能なオープンソースと呼ばれるプログラムが利用されます。ここに脆弱性につながる不備や悪意あるソースコードが組み込まれている可能性があります。一見すると便利なソースコードでも、それが信頼できるものか、都度分析して採用する必要があります。

A他のアプリの振る舞いチェック機能の付加
データにロックを掛けられて“人質”にとられるランサムウェアなど、同一端末の他のアプリに不正な振る舞いをするものがないか、チェックする機能を付加します。他のアプリの情報を外部のサーバに送ってチェックするため、公開後の新たなマルウェアにも対抗できる手法として注目を集めています。

B完成したプログラムの検証
膨大なソースコードを組み込んで作成するアプリには、その組み合わせによって制作者の意図しない脆弱性が生じるケースがあります。そこでリリース前のプログラムが自社のセキュリティポリシーに適合したものかどうか、改めて検証する作業が必要となります。

万全なセキュリティ体制が企業の社会的責任

IoTが普及・高度化し、生活者を取り巻く膨大な機器のひとつひとつに制御アプリがインストールされるようになると、このようなアプリのセキュリティ対策はあらゆる企業活動に関わる重要な社会課題となります。

DNPではそうした社会課題を解決すべく、クラッキングの脅威にさらされたアプリケーションに対し、高いセキュリティ機能を簡単操作で付加できるアプリケーション堅牢化ソリューション「CrackProof(クラックプルーフ)」を提供しています。CrackProofはアプリの改ざん・解析を阻止し、お客さまの重要な知的財産や秘密情報の漏えいを防止することができるソリューションです。

企業が自社サービスの顧客管理や利用促進のために公式アプリを提供したり、業務系ツールにスマートフォン&タブレットアプリを採用したりするケースが増えているなか、今後もアプリのセキュリティ対策は多くの企業にとって喫緊の課題といえそうです。その日に備え、万全なセキュリティ体制を築いておくことが企業の社会的責任といえるでしょう。

「CrackProof」のお問い合わせはこちら