【連載】「アプリケーションの保護はなぜ必要?」第一回:クラッキング被害事例と守るべき企業資産について

こんにちは! マーケティング部 です。

4月となり新年度がはじまりました。
昨年度は、こちらのブログで様々なトピックを取り上げましたが、
今年度はアプリケーション(ソフトウェア)のセキュリティや
自社製品CrackProofの魅力について改めて知って頂くため、
基本的な内容からスタートしたいと思います!

・・まず第1弾は、「アプリケーションの保護はなぜ必要?」の連載です。
連載1回目は、クラッキングについてを
企業のセキュリティ企画担当者様だけでなく、
新たにアプリを活用した事業を企画されるマーケティング担当者様等にも
理解頂けるよう編集しました。
是非ご覧ください。


<目次>

  1. そもそもクラッキングとは何か
  2. 実際どんな業界のどんなものが被害にあっている?
  3. なぜクラッキング被害が横行している?
  4. 今後の動向、まとめ

1.そもそもクラッキングとは何か

いきなりですが、皆さんは「クラッキング」という言葉をご存知でしょうか。
弊社サービスも
アプリをクラッキング被害から保護するセキュリティソリューション」と
説明することがありますが、聞き慣れない方も多いと思います。
クラッキングとは、英語でcrackingと書き、「ひび(割れ)、破壊」等を意味します。
よく耳にされるハッキングという言葉がありますが、
これはコンピュータ内プログラムを解析・改変することで、
元々は製品・サービスの改善を目的としていました。

これと区別し、
悪意のもとコンピューターシステム等に不正侵入し
プログラムの解析・改ざんを行うこと
クラッキングと言います。
クラッキングの具体的な手口は、
パスワードを割り当てるパスワードクラッキング、
公共wifiを利用したネットワーククラッキング、
webサイト改ざんやモバイルアプリの改ざんもこれに当たります。
実際に国内でも被害が増加し、ニュースで取り上げられることが増えました。

2.実際どんな業界のアプリが被害にあっている?

では、実際にどのような業界で被害が想定されているでしょうか。
クラッキング被害と一口に言っても
具体的な内容をイメージすることは難しいのではないでしょうか。
そこで今回は、
弊社製品CrackProofを導入いただいている企業様の
アプリケーション・ソフトウェアの事例
を紹介したいと思います。

モバイルアプリのクラッキングというと
ゲームやマンガアプリ等へのチート行為や不正利用被害が思い浮かびますが、
実はビジネスシーンなど含め
皆さんにとってより身近なところでもリスクとして捉えられています
これらのリスクに対抗するための一例として、
エンドポイントであるアプリケーションを
クラッキングから守る対策が効果を生んだ事例があります。

■金融系アプリ■
最近ではネットショッピング同様、
銀行の手続きや預金管理もモバイルアプリでの利用が増えています。
クラッキングの大きな目的の1つに金銭目的がありますので、
ネット上でのお金のやりとりはダイレクトに被害の的になり得ます。
消費者の方が安心してアプリを利用頂くための対策として
金融企業様には数多く製品を導入いただいております。
■複合機メーカー■
こちらは皆さんのオフィスでも広く使われているかと思います。
実際にクラッキング被害に遭ったため問い合わせいただきました。
中身を解析されてしまうと技術を模倣し安価で模造品が販売されたり、
複合機内に蓄積した機密データの漏洩といった大きな損害を伴うことがあります。
■CADソフト■
こちらは建設やアパレル・自動車等の設計で用いられるソフトウェアです。
デザインだけでなく、圧力をかける等シミュレーションも可能なため
現場での確認作業省略、設計作業効率化・データ共有等
幅広い目的・分野で活用されています。
先ほど挙げたシミュレーション計算プログラム等、重要なアルゴリズムが含まれるため、
海賊版等の不正コピーや技術の抜き取り防止等でご利用いただいています。

このように、皆さんの身近にあるデバイスやソフト等あらゆるものが、
クラッキング被害を受ける可能性が十分にあることを
お分かりいただけたでしょうか。

どの業界でも各企業は
独自技術や様々な機密データ、金融情報等
非常に機密性の高い資産を抱えています。

場合によっては、個人情報の漏洩は
企業の社会的信用性を欠く結果を招くことになります。
アプリケーション・ソフトウェアでのサービス提供をすることは、
そういった資産を攻撃者がアクセス可能な状態にすることに十分繋がるのです。

3.なぜクラッキング被害が横行している?

ではなぜこの不正な行為が増えているのでしょうか。
例えば以下のような複数の理由が考えられます。

①無料クラッキングツールの増加

以前、プログラミング解析は
知識を持ったエンジニアなどによる高度な技術を要する行為でしたが、
今では簡単に解析できるツールが出回っています。
(米国家安全保障局(NSA)は、組織内で10年以上使用してきた
 ソフトウェアリバースエンジニアリングツール「Ghidra」を無償で公開しています。)
元々はプログラムの構造や仕組みを研究したり、
解析技術をトレーニングするために開発されたツールでしたが
それらが無料であることも多く、解析行為自体が容易になったことで
悪用されることが増えてしまいました。

海外では、クラッキングツールを開発して中国圏、英語圏のサイトに掲載し、
SNS上で拡散・安価に販売し利益を得るというブラックマーケットも存在しています。

②OS(オペレーションシステム)の汎用化

OSとは、
パソコンやスマートフォン上で
アプリケーションを動かすための必須システム
アプリ動作やファイルの呼び出し、メモリの読み込みなど
様々な動作を管理しています。
企業は、過去には独自のハードウェア・ソフトウェアを開発し
その中でプログラムを組み製品やシステムを開発していました。
よって、企業の扱う情報へのアクセスは容易ではありませんでした。
ところが今では、開発の効率性や
グローバル展開時の標準準拠の必要性等が要因となり
汎用化OSの利用が普及しました。
(土台となる共通のOSを使用することで開発スピードアップコスト削減につながる)
Android、LinuxなどUnix系のOSが無償で利用可能となり、
Windowsは特にビジネス利用で普及しました。

このように多くの人が使う共通基盤となっているため、
解析・分析対象となりクラッキング被害のリスクが高まってきました。

③取り扱い情報の重要化

様々なサービスが生まれる中、各社の競争が激化し独自の開発技術が進み、
ソフトウェアのアルゴリズムやノウハウの重要性、
多様化した消費者ニーズ把握のための個人情報の価値が高まっています。
さらに、企業倫理やプライバシー等の問題が取りざたされる状況も重なり、
企業が抱える機密情報や個人情報は特に重要なデータとなっています。

そのような状況の中、業務効率化・非対面需要が高まり
機密情報のデジタル化が進んでいます。
こうした情報を狙うクラッキングのリスクは
益々高まっていると言えるでしょう。

4.今後の動向、まとめ

皆さんの会社でも在宅勤務等働き方が変化し、
コミュニケーションツールとして
テレビ会議や社内チャットツールのアプリを利用される機会が
増えたのではないでしょうか。
これらは社内業務の効率化・円滑化として有効的で、
今後このような動きはさらに活発になると考えられます。
その中には先ほど事例紹介で挙げた、社内で使用するソフトウェア等も含まれます。

これらは常にクラッキングの被害の可能性を抱えていて、
今後、企業が抱える情報の重要度が増すにつれてリスクはますます大きくなるでしょう。
様々な状況の変化に伴い、業務効率化の考え方は今後も続いていくと予想されるため、
その中で、企業のデータや信頼を守ることは、
今や企業の利益確保のために非常に必要な対策のひとつと言えます。

次回は、「なぜアプリを保護する必要があるか」の根幹である
アプリの脆弱性について詳しく解説します。
是非お楽しみにしていてください!