スマホアプリの“目立たぬ弱点” 分かっていても対策が難しいワケ：「見えないWeb攻撃」──情報漏えい対策の盲点（2/2 ページ）

[中西一博，ITmedia]

API特有の弱点と特殊な攻撃

　次に、API認証・認可の開発の難しさが挙げられる。開発チームには、認証・認可に関する専門の基礎知識と、標準化された最新の認証基盤技術の理解が求められる。さらに実際の開発では、ユーザーがすでにいる既存サービスとの連携や、SNSなど社外のサービスとの連携が複雑に絡み合う。

　そのため、セキュリティ的に穴のない実装をしようとしても、教科書的な「正解」を当てはめることが難しく、基礎を応用する確かな技術力が必要になる。一説には「APIに厳密な認証・認可メカニズムを実装できれば、スマホアプリの開発は7割がた終わったも同然」ともいわれる。逆に言えばそれほど難しい。

　2019年に起きた7payアプリの事件では、さまざまな原因が推測される中、可能性の一つとして、ソーシャルメディアとの外部ID連携に関するセキュリティ上の不備が外部の識者から指摘された。応用スキルを持つ一流の技術者が圧倒的に不足している現状では、他のアプリ開発の現場でも生じうるリスクだといえる。

まず企業の経営陣は、アプリのセキュリティ検証について高度なスキルを持った人材に対し、リソースを投入する必要があることを認識するべきだ。システム面では、例えばクラウド型の認証サービスを軸にして、企業が提供している複数のサービスの認証システムの統合化を図り、認証周りの開発を標準化することで、知識やミス、開発リソースの不足による脆弱性の発生リスクを下げていくことができるだろう。

APIを狙うさまざまなサイバー攻撃

　他にも、APIサーバが備える処理の脆弱性を突く「デシリアライズ攻撃」など、APIサーバ特有の脆弱性を狙う攻撃があるため、特別な対策が必要だ。前回の連載記事で取り上げた、SQLインジェクションなどのWebアプリケーション攻撃も、JSONなどのWeb APIの形式に合わせて行われる。

　こうした脆弱性を突く攻撃には、APIサーバの脆弱性パッチや、セキュアプログラミングの技法に加えて、WAFによる多層防御が有効な防御策となる。ただし、API形式のリクエストを読み取って攻撃を検知する能力や、APIの開発者が規定したリクエスト形式以外をブロックする「ポジティブセキュリティモデル」など、API保護に特化した能力を備えたWAFが必要になるので注意が必要だ。

Web APIへの攻撃に対してWAFに求められる保護能力

　複数の世界的な評価機関がWAFベンダーのソリューションを比較評価するレポートの最新版では、脆弱性攻撃をルールマッチングだけで守るこれまでのWAF検知能力だけではなく、DDoS保護、bot緩和、ゼロデイ攻撃耐性やAPI保護などを、WAF製品の重要な評価軸として取り入れている。このような側面からも、複雑さを増すサイバー攻撃からWebベースのアプリケーションとAPIを守り抜くには、防御する側の意識と技術水準のアップグレードが必要になっていることが把握できるだろう。

必要なのは「APIサーバを意識すること」

　企業サイトからリンクが張られ、URLが画面上部に表示されるWebブラウザベースのアプリケーションとは異なり、スマートフォンアプリでは「サーバ」の存在が意識されにくい。それは、一般の利用者だけでなく、アプリを提供する企業の多くの経営層にも当てはまる。

　今回取り上げたAPI特有の弱点をふさぐためのセキュリティ投資には、企業戦略上の経営判断がしばしば必要となる。その先には、築き上げたブランド価値とサービスを利用する顧客の保護があることをぜひ考慮していただきたい。

　またアプリを利用する消費者の側でも、画面の向こうの「APIサーバ」のことを時々思い出し、十分な保護がされているかを意識してほしい。「見えていなかったAPIのリスクを想像する」ことが、セキュアなAPIエコノミーを形作る力になると信じている。