“危ないアプリ”を作らないために リスクを“つぶす”専用ツールの使い方を見てきた

PR／ITmedia

PR

　モバイルアプリを使わずに過ごす日はないと言っても過言ではない。今や、行政までもが公共サービスの提供にスマートフォン用のモバイルアプリケーション（モバイルアプリ）を利用している。

ソフトバンクの佐藤良彦氏（法人プロダクト＆事業戦略本部 セキュリティ事業第1統括部 セキュリティデザイン推進部 プロモーション企画課）

　企業はモバイルアプリを店舗に次ぐ顧客接点として重視し、顧客の囲い込みやブランディングなどの窓口として開発、提供している。「魅力的なモバイルアプリを開発することが顧客体験の向上や競争力の維持に直結します」――こう話すのは法人向けセキュリティソリューションを多数提供するソフトバンクの佐藤良彦氏だ。

　モバイルアプリの活用が進むにつれ、情報セキュリティのリスクも拡大している。背景にあるのは、アプリを通じて個人情報を含む多くの情報を取り扱うようになったことだ。また、モバイルアプリは誰でも閲覧できるアプリストアやWebサイトで配布されることが多く、非推奨の使い方をされたり、悪意を持つ人が利用したりする可能性を排除できないのだ。

　企業は、モバイルアプリをどう守ればいいのか。モバイルアプリの情報セキュリティ対策を専門に手掛けるZimperium（ジンペリウム）とソフトバンクを取材。アプリの脆弱性診断や堅牢（けんろう）化、脅威検知などに対応した“専用ツール”のデモンストレーションを見てきた。

モバイルアプリのリスクが企業経営にも影響

　モバイルアプリはユーザーの手元に24時間ある。カメラやマイクを通して情報を収集できることに加えて、身体データや位置情報といったセンシティブな情報が保存されている点を考慮して開発、運用することが欠かせない。

　モバイルアプリのリスクを放置するとセキュリティ事故につながる可能性があり、企業経営に影響すると佐藤氏は警鐘を鳴らす。モバイルアプリの脆弱（ぜいじゃく）性を突かれてサーバに侵入される恐れがある他、不正なプログラムを仕込まれる場合もある。個人情報が漏えいすれば、顧客対応や復旧に多大なコストがかかる上に罰金を科されることもある。モバイルアプリが停止している期間は機会損失だ。ブランド価値の向上を目指して作ったモバイルアプリが、企業の信頼とブランドを損なう原因になるのは避けたい。

　2025年2月時点では、モバイルアプリが情報セキュリティやプライバシー保護の水準を満たしているかどうかを、アプリストアを管理するAppleやGoogleなどのプラットフォーム事業者が審査しているので一定のセキュリティが確保されている。しかし、2024年6月に成立した「スマホソフトウェア競争促進法」によってAppleやGoogle以外の事業者のアプリストアの利用が拡大し、それらの事業者が審査を行わないとすれば、自社のモバイルアプリにおける情報セキュリティ対策を自ら強化する必要性が高まるだろう。

データで見るモバイルアプリのリスク　「侵害が12万件」の事例も

Zimperiumの金承顕氏（Senior Director, Japan Sales）

　Zimperiumの金承顕氏は「日本は『Appleは安全だ』という“Apple神話”が根強く、根拠なく安心している傾向にあります」と指摘する。端末自体の安全性が高いとしても、モバイルアプリの情報セキュリティとは切り離して考えることが重要だ。

　Zimperiumが約100万件のモバイルアプリを2023年に調査した「Zimperium Research」によると、モバイルアプリのソースコードを堅牢化、難読化するなどのコードプロテクションを実施していない企業はiOSで約7割、Androidで約8割に達している。リバースエンジニアリングに備えられていないのが現状だ。「重要なファイルや個人情報などのデータの保護」「暗号アルゴリズムや暗号鍵の適切な管理」を実施していると答えた企業はどちらも5割を下回った。

モバイルアプリにおける情報セキュリティ対策の現状（提供：Zimperium）

　脆弱性の報告も絶えない。IPA（情報処理推進機構）が公表している「ソフトウェア等の脆弱性関連情報に関する届出状況」によると、近年「スマートフォン向けアプリ」の脆弱性の届出件数は、Webアプリケーションソフト、ルーターに続く第3位の多さだと佐藤氏は説明する。

　金氏が課題に挙げるのは、モバイルアプリの提供者が自社アプリの安全性やリスクを把握していない点だ。Zimperiumの脅威検知ツールを導入した米国大手銀行が約50のモバイルアプリをチェックしたところ、情報セキュリティ侵害が6カ月間で約12万件も検出された。古いOSのままで脆弱な状態にあるデバイス約200万台が同銀行のアプリを利用している実態も明らかになった。

　日本特有の課題としては、モバイルアプリの開発を外注するケースが多い点がある。ひとごとになりやすい上に、コスト圧縮の意識が働いて情報セキュリティ対策が後手に回りがちだ。市場ニーズに合わせた開発やアップデートを優先するあまり、情報セキュリティ対策が後回しになるケースも多い。

　「リリース直後は問題がなくても、アップデートによって新たな脆弱性が生まれることもあります。本来はリリースのたびに脆弱性を診断すべきですが、予算や工数がネックになり難しいのが現状です」（佐藤氏）

モバイルアプリを守る3つのフェーズ　専用ツールの使い方は？

　Zimperiumが推奨する対策が「リリース前の開発過程」「バイナリファイル」「ランタイムをダウンロードした端末」という3つのフェーズごとにリスクを抑える方法だ。この考えに基づいて、同社はモバイルアプリセキュリティプラットフォーム「Zimperium MAPS」を提供している。Zimperium MAPSは、4つのコンポーネント――「zSCAN」「zSHIELD」「zKEYBOX」「zDEFEND」から成っている。

「zSCAN」で開発スピードを妨げずに対策

　モバイルアプリの開発スピードが加速する中、リリース直前で外部の事業者に脆弱性診断を委託して、問題があったら修正をするという手順は手間も時間もかかると金氏は説明する。モバイルアプリを開発者自身が定期的にチェックして問題を早期につぶすことで、開発コストを低減できる。

　そんな開発を実現するのがZimperium MAPSのzSCANだ。「OWASP MASVS」などの業界標準に沿ってモバイルアプリを継続的にスキャンし、脆弱性の有無はもちろんプライバシー保護やコンプライアンス規定に抵触する問題を的確に指摘する。

　使い方はシンプルだ。開発中のバイナリファイルをアップロードするか、アプリストアの公開ページのURLを入力するとスキャンが始まる。完了時にメール通知を受けることも可能だ。アプリの複雑さによって所要時間が異なるが数分程度でレポートが出力される。ソースコードのどこにどのくらいの危険度の脆弱性があるのかを特定し、対策案を提示する。問題がない箇所を「ベストプラクティス」と評価する機能もあるので、開発リソースの配分を調整するのに役立つ。

　サブスクリプション契約すれば何度でもスキャン可能。Eコマースサービスを提供する企業や自動車メーカーなど多くの採用例がある。

モバイルアプリのバイナリファイルをアップロードするか、アプリストアのURLを入力する（提供：Zimperium）

スキャン結果の一覧。重要度を色分けしていて、グリーンが「Best Practices」、オレンジが「Medium」、レッドが「High」（提供：Zimperium）

「zSHIELD」でバイナリファイルを保護

　アプリ内やサーバ側の特定のライブラリや重要なファイル、アプリコードを堅牢化、難読化して保護するツールがZimperium MAPSのzSHIELDだ。ユーザーの操作とアプリの挙動をひも付けるコントロールフローを平たん化して不正を防止する。他にも重複チェッカーを埋め込んで改ざんを検知する、構成ファイルを暗号化するなど、多様な技術を駆使してモバイルアプリ自体を守る。

　堅牢化を強くし過ぎると、モバイルアプリのパフォーマンスに影響が出かねない。金氏は「各対策の強度を調整できるので、モバイルアプリのパフォーマンスと情報セキュリティ対策のバランスを取れます」と説明。設定画面はGUIなので、複雑な操作も分かりやすい。

「zKEYBOX」で見落としがちな暗号鍵を守る

　基本的な対策ながら見落とされがちなのが暗号鍵や暗号アルゴリズムの保護だ。データや通信を暗号化していても、暗号鍵を使う際はメモリで平文に戻る。「そこを盗み見られると一巻の終わりです」と金氏は強調する。

　Zimperium MAPSのzKEYBOXは、「ホワイトボックス暗号化」という技術を使って暗号鍵と暗号アルゴリズムを「ごちゃ混ぜ」にし、平文の状態を盗み見られても意味が分からないようにする仕組みだ。暗号化や複合化はアプリの機能には全く支障がない。メッセージアプリ「LINE」も採用している技術だという。

「zDEFEND」でアプリ利用デバイスの脅威を可視化

　モバイルアプリの情報セキュリティ対策は、利用者の使い方も考慮しなければならない。Zimperium MAPSのzDEFENDを使うことで、利用者が使っているランタイムの脅威を可視化できる。マルウェア攻撃はもちろん、Wi-Fiを介した中間者攻撃やモバイルアプリが動作するOSのリスクも検知。OTAによるアップデートなど適切な対応を支援する。脅威の程度や内容に応じてモバイルアプリをどうコントロールするか細かく定義可能だ。

　Zimperium MAPSの個々の機能だけならば、同種のソリューションは他にもある。Zimperium MAPSはこれら4つのコンポーネント全てを一つのプラットフォームとして提供していて、単一の管理コンソールで全体の状況を確認できることが最大のメリットだ。

　「欧米の大手企業がZimperium MAPSを選ぶ理由の一つが、プラットフォームであるという点です。モバイルアプリの開発からリリース後の運用まで対応できます」（金氏）

　国内でも導入が広がっている。LINEを提供するLINEヤフーの他、ゲームアプリメーカーやIoTデバイスをコントロールするアプリのメーカー、センシティブな情報を扱う医療系アプリや決済アプリなどが採用している。

Zimperium MAPSのコンソール画面。zDEFENDの情報が表示されている（提供：Zimperium）

今後は対策が当たり前に？　無償トライアルで試してみては

　まだピンとこない企業があるかもしれない。しかし、モバイルアプリの保護は、各省庁や業界団体のガイドラインなどで今後求められるようになると佐藤氏はみている。NIST（アメリカ国立標準技術研究所）もモバイルアプリのセキュリティリスクについて強く警鐘を鳴らしており、日本にもこうした動きは波及するだろう。既に金融庁の「金融分野におけるサイバーセキュリティに関するガイドライン」には外部公開Webサイトなどとともに「モバイルアプリを対象とする脆弱性診断を実施すること」という文言が盛り込まれている。

　「まだ大丈夫では」と構えてインシデントが起きてから対応するのではなく、早めに手を打つことが必要だ。そうは言っても、概念だけでは分かりにくい部分もあるだろう。ソフトバンクは、Zimperium MAPSを検証できる無償トライアルを用意している。30日間自由に使えるので「自社のアプリはどの程度セキュアなのか」「顧客の環境はどのようなリスクにさらされているのか」を自分の目で確かめられるはずだ。

　ソフトバンクとZimperiumはモバイルデバイス向けのセキュリティソリューション「Zimperium MTD」の販売を通じて長年にわたる協力関係を築いてきた。「モバイル通信キャリアとしてデバイスに限らずモバイルアプリケーションも含めてモバイルサービス全体を安全なものにしていきたいと考えています」（佐藤氏）

　佐藤氏は「モバイルアプリは当たり前のように使われています。モバイルアプリのセキュリティが重視されるのは当然です。利用者との信頼関係を築き上げるための『投資』と捉えて積極的に取り組むことをお勧めします」と結んだ。