【連載】「アプリケーションの保護はなぜ必要?」第二回:なぜアプリが狙われる?-アプリに潜む脆弱性と攻撃者視点から考えるモバイルアプリ対策の必要性-

マーケティング

こんにちは!マーケティング部です。

連載「アプリケーションの保護はなぜ必要?」、
2回目はアプリがサイバー攻撃の標的となってしまう可能性について解説します。
アプリ側のセキュリティの弱点をつく攻撃と、その対策をするうえで必要な視点をまとめました。
是非ご覧ください。

連載1回目記事はこちらから>>>

<目次>

  1. なぜアプリが狙われる? ~アプリの脆弱性~
     (1)ソフトウェアの開発の過程
     (2)開発者のセキュリティ知識・経験不足
  2. なぜアプリが狙われる? ~セキュリティ対策で見落としがちな点~
  3. 今後のアプリ利用増加に伴うリスク拡大と、持つべき視点

1.なぜアプリが狙われる? ~アプリの脆弱性~

IPA(独立行政法人情報処理推進機構セキュリティセンター)によると
脆弱性とは、“「ソフトウェア等におけるセキュリティ上の弱点」のこと” (引用※1) 
と記載されており、攻撃者がサイバー攻撃実行の入り口(きっかけ)とするものです。

脆弱性が発生しやすい理由は以下2点が考えられます。
(1) ソフトウェアの開発の過程:
  ソフトウェア開発では、さまざまな要因が絡むため、脆弱性を完全になくすことは難しいと言われています。
  また、機能付加や修正・改善等のアップデートが重なるとその過程で複雑な構成のプログラムとなり、
  コンフリクトが発生するなどし、セキュリティ機能が不十分になってしまう可能性が生じます。

(2)開発者のセキュリティ知識・経験不足:
  WhiteHat Securityの調査では、
  ”アプリ開発者のうち75%がセキュリティについて不安を抱いている”(参照※1)と明らかにしています。
  アプリの機能や動きを改善するための経験や知識が豊富な技術者であっても
  専門知識が必要なセキュリティ対策の徹底は難しく、
  脆弱性を100%除去することが困難という事実があります。

例えば、開発目的に応じて特定の開発言語やOS、開発エンジンの使用が必要となりますが、
C/C++で開発されるアプリでは、ある1つの照合動作において
ファイル内の複数の照合箇所=バッファーエリアが隣接することで、
条件次第でプログラムが上書きされることがあります。
※この脆弱性を利用した悪意あるプログラムを実行する攻撃のことを、バッファオーバーフロー攻撃と言います。
 詳しくお知りになりたい方は、当サイトの開発者コラムをご覧ください。
 「C /C++言語に潜むバッファオーバーフローの脆弱性とその対策」

このように、安定して動作しているように見えるアプリでも
表面には見えない多くの脆弱性やその可能性が存在し、
攻撃の起点となり得ると考えられます。

2.なぜアプリが狙われる?
  ~セキュリティ対策で見落としがちな点~

弊社では、アプリのセキュリティ対策・強化策について多数のご相談をいただきますが
中には強固なネットワークのセキュリティに守られているとのことで、
アプリのセキュリティの採用を見送るケースもあります。
しかし、実はネットワークに強力なセキュリティ対策を行っていても
アプリ側からサーバー上のデータへのアクセスが可能な場合があります。

例えば、アプリ解析を用いた不正アクセスが考えられます。
以下の図のように、モバイル端末にインストールしたアプリに十分な保護対策がなされていないと、
攻撃者によりアプリの解析が行われてしまいます。
さらに、アプリ内のプログラムの中にある、サーバーにアクセスする手段を入手されると、
APIを通じて不正アクセスされ、
最悪の場合、サーバー内にあるデータを抜き取られる可能性もあります。

つまり、せっかくネットワークで保護の壁を厚く作っていても、
アプリ側の対策が手薄であれば、時間をかけず容易に攻撃が実行できてしまいます。
また、サーバー内には、データベースの保管場所として多数のデータや記録が存在するため、
攻撃者にとって効率的に多くのデータを窃取できる
好条件な抜け穴を作ることとなってしまいます。

例えば、機微な個人情報を入力したり、
行動データを収集したりするようなモバイルアプリには
重要なデータが蓄積されるため、攻撃者に狙われやすい傾向があります。
モバイルアプリは、現在上記のように個人とデータを結びつけることで、
消費者が使いやすいようパーソナル化した仕様となっており、
より利便性の高いものとなっています。
そのようなアプリが増えることで、脅威も増していくと予想できます。

「セキュリティの抜け道を突く」という
攻撃者の視点をよく理解し対策をすることで
不正アクセス被害も未然に防ぐことができます。
こういった視点を持つことが、セキュリティ対策において非常に重要な考え方となります。

3.今後のアプリ利用増加に伴うリスクと、持つべき視点

これからもアプリの利用増加に伴い、サイバー攻撃の入り口は無数に増えていきます。
企業への不正アクセスや顧客の個人情報のデータベース等は
ネットワークのみでのセキュリティ対策では守ることが難しく、
抜け穴となりがちなエンドポイントであるアプリのセキュリティを強化することにより
サイバー攻撃からのリスクを回避する必要性が迫っています。

(引用※1):「IPA 脆弱性対策 コンテンツ リファレンス」
IPA(独立行政法人 情報処理推進機構セキュリティセンター)
P.2 「1.脆弱性 (Vulnerability)とは」より 作成日:2021年3月(https://www.ipa.go.jp/files/000051352.pdf)

(参照※1):「開発者の75%がアプリのセキュリティを懸念–問題の所在は」
ZDnet Japan 掲載日:2019年12月10日 (https://japan.zdnet.com/article/35146128/