いま公開した“そのモバイルアプリ”、セキュリティは大丈夫？ 迫る脅威への対策を編集部と考えた

[PR／ITmedia]

PR

　記事を読む前に1日の生活を振り返ってみてほしい。起床して仕事に出かけ、業務を終えたら帰宅し、夕飯を食べて就寝するまでにモバイルアプリケーション（以下、アプリ）をどれだけ使っているだろうか。数え切れない時間を多数のアプリとともに過ごしているはずだ。

　今度はアプリを提供する側に視点を移してみる。アプリは直接ユーザーと接点を作れて、行動や趣向などのデータを得られるメリットがある。たくさん使ってもらうのが理想だ。一方でアプリに脆弱性などの不備があればユーザーに不利益が生じ、ひいては企業ブランドを毀損（きそん）しかねない。

　アプリの利便性を損なわずに安全性を維持するにはどうすればいいのか。ITmedia NEWSでセキュリティ分野を担当する編集記者・谷井将人と、スマートフォンの動向に詳しい通信キャリア、安全対策に知見があるセキュリティ企業の3人で考えてみた。

不正アクセスや情報流出――増加するアプリのインシデント　5つの脅威

谷井　今回はソフトバンクでモバイルセキュリティに携わりつつ日本スマートフォンセキュリティ協会の副会長も務める米田章宏さんと、モバイルデバイスとアプリ向けのセキュリティソリューションを展開するZimperiumの奥山剛央さんにお話を伺います。早速ですが、企業がアプリを活用する場面が広がってきていますね。（※以下、敬称略）

米田章宏さん（日本スマートフォンセキュリティ協会 副会長／ソフトバンク 法人プロダクト&事業戦略本部 セキュリティ事業統括部 セキュリティサービス第2部 部長）

米田　もはや当たり前になっているという印象です。2008年にソフトバンクがiPhoneの販売を開始した当初は、ビジネス領域での拡大については未知数でした。しかし昨今は「モバイルファースト」といわれるように、多くの企業が自社アプリを提供しています。

谷井　一方で、アプリに起因するセキュリティインシデントも多数発生しています。影響が大きかった例だと、小売業者の決済アプリで起きた不正利用でしょう。認証周りのセキュリティ対策に不備があり、アカウント乗っ取りが相次いで多額の被害が発生しました。

Zimperiumの奥山剛央さん（セールスエンジニア）

奥山　ゲームアプリでいえば、アプリの中身を解析する「リバースエンジニアリング」によって課金アイテムを不正に入手された事例もありました。ビジネスそのものが崩壊する可能性もありますし、アプリ提供企業の質も疑われかねません。

　そもそもアプリは、サーバやクラウドなどさまざまなシステムと連携して処理をする性質を持っています。キャッシュレス決済や家電の操作など生活の「ハブ」になるので、脆弱性を放置してしまうと企業のサービス全体やビジネスそのものに深刻なインパクトを与える恐れがあります。

谷井　お話しいただいたアプリのセキュリティ不備を狙う脅威は4つに大別できると考えています。（1）個人情報や認証情報などの情報を狙うもの、（2）金銭的被害を狙う不正送金など、（3）アプリのサービス停止を狙ったDDoS攻撃、（4）これらの結果として名誉やブランドの毀損を目的にしたものです。

奥山　もう1つ追加するなら、（5）知的財産が奪われる被害も無視できません。音楽や映像配信アプリ内のコンテンツをコピーされてしまうような例です。金銭的な被害だけでなく、ブランドも傷ついてしまいます。

脆弱性診断は「リリース前のみ」　継続性に課題

谷井　脅威への対策をするうえで、アプリ提供事業者はどのような課題を抱えているのでしょうか。

米田　多くの企業は開発時に、アプリに脆弱性がないか確認する脆弱性診断をしています。しかし公開する前に実施するものの、バージョンアップのたびに実施するほどの予算や工数が確保できないという課題をよく聞きます。

奥山　新しい機能やライブラリを追加しても、サービスの提供を急ぐあまり、それが安全かどうか不明確なままリリースしてしまう実態があるのは事実です。残念ながら、それがインシデントの原因になっていると思います。

米田　ソフトバンクはこれまでスマホのセキュリティ対策として、UEM（統合エンドポイント管理）やMTD（モバイル脅威防御）など多くのソリューションを提供してきました。ただ、それらはデバイスやビジネスパーソンを守る視点に立ったものです。一方で現在はデバイス上で動くアプリにも目を光らせる必要があると考えています。

アプリは「店舗のようなもの」　セキュリティの不備はどう危険？

奥山　アプリへの攻撃例では、海外でアプリを徹底的に解析してソースコードを盗取し、本物を装った偽アプリとして公開するケースが起きています。企業が開発したソースコード、つまり知的財産が盗まれるうえ、偽アプリをインストールしたユーザーに被害が及んでしまいます。

谷井　例えるなら、アプリは店舗のようなものです。その中身が見えてしまうのは、店舗のバックヤードに入れてしまう状態です。レジからお金を奪うことも、置いてある業務用PCから機密情報を盗むこともできます。ですから、バックヤードに入れないようアプリをきちんと保護することが重要ですね。

奥山　分かりやすい例ですね。アプリの提供事業者が一番に考えるべきは、アプリの性質や弱い部分、問題点です。多くのアプリが、外部のクラウドサービスや認証サービス、ライブラリなどを活用していますが、それらがどのような懸念を抱えているか把握する必要があります。

　それを実現するのが、脆弱性診断です。しかしアプリやOSのバージョンアップの度に毎回実行するのは現実的ではないのも事実です。お金や時間には限界がありますから、専用のツールをうまく活用し、いろいろな角度から効率的にアプリのリスクを評価することが重要です。

米田　スマホの安全な利用を促進している日本スマートフォンセキュリティ協会では、セキュリティに関するベストプラクティスをまとめて、「Androidアプリのセキュア設計・セキュアコーディングガイド」「モバイルアプリケーション開発 10大チェックポイント 2023」として公開しています。これらを参考にしつつ、効率化すべき部分は専用ツールに頼るのがいいでしょう。

アプリのリスクを解消　4つのセキュリティ対策とは？

谷井　専用ツールというと、具体的にはどのようなものでしょうか。

奥山　Zimperiumでは、モバイルアプリのセキュリティを強化する「MAPS」（Mobile App Protection Suite）という4つの専用ツールから成る製品群を提供しています。

　1つ目が、アプリのリリース前にリスクを調査するツール「zSCAN」です。APKファイルやIPAファイルなどのソフトウェアパッケージを、Zimperiumのクラウドサービスで多面的かつ自動的に評価できます。結果を可視化したレポートではリスクの内容に加えて解決方法までアドバイスするので、1つで完結できるのが大きな特長です。

ZimperiumのMAPSを構成する4つの要素

米田　アプリを提供する企業がzSCANでチェックし、開発企業に修正を依頼することができますね。

奥山　はい。次のステップは、見つけたリスクへの対策です。重要なのがアプリの堅牢化ですね。セキュアコーディングやアプリの難読化、改ざん防止などさまざまな要素を含むもので、リバースエンジニアリングを防げます。これをサポートするのがMAPSの2つ目「zSHIELD」です。

　対策の一つが、アプリのコントロールフローやソースコードの平たん化です。例えばアプリ内で有料アイテムを買う場合、ユーザーが購入ボタンを押したら数フローの処理でアイテム情報を取得します。アプリを解析してフローが分かればアイテムの不正取得が可能になるため、詳細なフローを隠す対策が平たん化です。

zSHIELDによる保護の内容。コントロールフローの平たん化（右上）や、改ざん検知（右下）などがある

谷井　アプリを解析しても内容を読み取れないようにするわけですね。こうした機能がなぜ必要なのでしょうか。

奥山　アプリは誰が、いつ、どんなデバイスでどう使うか一切コントロールできないので、あらゆる環境で守る必要があるわけです。MAPSにはzSHIELDに加え、データや通信の暗号化に用いる鍵そのものを保護して守る「zKEYBOX」、振る舞い検知によってモバイルデバイスを守る「zDEFEND」というツールがあります。これらを活用することで、アプリをしっかり守れます。

公開済みアプリに「漠然とした不安」　対策不足の原因に

谷井　実際、対策に悩む企業は多いのでしょうか？

奥山　公開済みのアプリに対して漠然とした不安を感じているお客さまは多いように思います。具体的にどういう攻撃にさらされるのか分からず、「どんな懸念があるか知りたい」という相談が一番多いように思います。

　Zimperiumのアンケート調査では、公開済みアプリのうちソースコードを保護していないものがAndroidで81％、iOSで68％に上ることが判明しました。リバースエンジニアリングによるソースコードへの攻撃を想定しておらず、何をどう守ればいいか分からないから対策が進んでいないと考えられます。

Zimperiumのアンケート調査結果

谷井　リバースエンジニアリング対策をしないのは、店舗のバックヤードに入り放題の状態を放置しているようなものですよね。とはいえ、リスクや脆弱性を事前チェックしようにも人手や時間が足りず何度もできないので、リリース前の最終チェックで終わらせることもあるでしょう。すると、深刻な問題が見つかったときの手戻りが大きくなるので、見て見ぬふりをしたくなるかもしれません。そこを専門ツールで安価に自動化できれば、細かいチェックを重ねやすくなり、手戻りを減らせそうですね。

理想のセキュリティをどう実現する？

谷井　アプリはユーザーに一番近い場所にある「窓口」です。そこが強盗に入られ放題の状態では企業もユーザーも困りますよね。実際の店舗と同様、十分なセキュリティが当たり前になってほしいですね。

米田　ビジネスにも生活にも必須の存在になったアプリのセキュリティを高めるために、ソフトバンクからアプリ提供事業者に有効策を提示してサポートしていきます。日本スマートフォンセキュリティ協会としても、アプリに対するセキュリティ意識の向上につながる活動に力を入れていきます。

奥山　モバイルに限った話ではありませんが、利用者一人一人がセキュリティに気を付けて使うのは困難です。100人いたら100通りの使い方がありますから、利用者が気にしなくても守られている状態を作るのが、一番いいセキュリティの姿だと思います。

　それを実現するには、アプリを提供する側がどうやってセキュアにし、安心して使ってもらえるようにするかが重要です。自社アプリが本当に大丈夫なのかチェックできる機能と、見つかったリスクを修正する手段を持ち、安全なサービスとして提供し続ける仕組みを作ることでアプリのメリットをより多くの人に広げられるでしょう。