スマートフォンアプリケーションに迫る脅威とセキュリティ

こんにちは、デジタルペンテストサービス部の田端です。

在宅勤務やペーパーレス化が進み、今まで紙で作業していた業務をスマートフォンアプリケーション（以下、スマホアプリ）に切り替えたという話を聞くようになりました。今後も増加していくと思われるスマホアプリの活用に向け、アプリ開発時に安全性を高める方法をご紹介します。

なお、記事の最後でスマホアプリのセキュリティに関するホワイトペーパーとマンガもご案内していますので、こちらもぜひご覧ください。

スマホアプリを取り巻く脅威

スマホアプリが利用される場面や利用者が増えると、開発されるアプリの数も増加します。それに伴い、スマホアプリの脆弱性を狙った攻撃も発生しています。スマホアプリを取り巻く脅威には、どんなものがあるのでしょうか。例えば、アプリの不正利用や情報漏えいというセキュリティリスクがある中、以下のような攻撃や、不正利用が考えられます。

通信への攻撃

• 通信上のパラメータの改ざんで、なりすましや不正アクセスをされてしまう
• 安全ではない暗号方式やプロトコルの使用により、それらが解読され通信の盗聴や改ざんをされてしまう
• MITM攻撃（中間者攻撃）により暗号化された通信の内容が盗聴、改ざんされてしまう

クライアント端末・アプリの解析、不正利用

• ローカルファイル/ディレクトリからスマホアプリ内で利用する情報が奪取されてしまう
• アプリ間連携の機能を悪用され、不正に操作されてしまう
• 出力ログからスマホアプリ内で利用する情報が奪取されてしまう
• リバースエンジニアリングされ、スマホアプリのロジックの解析をされてしまう
• 紛失・盗難時に不正利用され、コピーアプリの作成や配布をされてしまう

スマホアプリの安全性の高め方

スマホアプリを様々な脅威から守るため、どのように安全性を高めればよいのでしょうか。
ここでは大きく3つの方法をご紹介します。

1．脆弱性情報を学ぶ

世の中にどんな脆弱性が存在しているのか情報収集しましょう。下記のようなサイトで確認することができます。

• IPA「Japan Vulnerability Notes」
  日本で使用されているソフトウェアなどの脆弱性関連情報とその対策情報を提供し、情報セキュリティ対策に資することを目的とする脆弱性対策のポータルサイトです。スマホアプリの情報も掲載されています。
• IPA「安心相談窓口だより」
  IPAの相談窓口に寄せられ情報セキュリティに関する相談内容をもとに様々なトピックが紹介されています。このサイトでは具体的なセキュリティ問題を学べます。

2．セキュアコーディングを学ぶ

脆弱性を生まないために、セキュアコーディング技術を学びましょう。学んだセキュアコーディング技術を基に、スマホアプリの企画・設計段階から必要な機能要件に加え、セキュリティやプライバシー要件を検討できます。

iOSのセキュアコーディングガイド

• Apple「Security Overview」

Appleが公開しているiOSのセキュアコーディングについて網羅的に確認できるサイト（英語）

• Apple「Security Resources」

Androidのセキュアコーディングガイド

• JSSEC「Androidアプリのセキュア設計・セキュアコーディングガイド」
  日本スマートフォンセキュリティ協会（JSSEC）から発行されているAndroidアプリのセキュリティを考慮した設計・開発のノウハウを集めたガイド。アプリ開発現場で「使う」ことを想定した文書構成が特徴です。英語版も公開されています。
• ラック「OWASP Mobile Application Security Verification Standard 1.0（以下、MASVS）日本語訳」
  セキュアコーディングと少し話が変わりますが、MASVSは、モバイルアプリの設計や開発、テストをするときに必要とされるセキュリティ要件のフレームワークを定めたドキュメントです。そのMASVSの日本語訳をラックが公開しました。
  

  ※ 2021年9月3日時点：最新の日本語訳サイトはこちらに変更されております
  owasp-masvs/Document-ja at master · OWASP/owasp-masvs · GitHub
  （https://github.com/OWASP/owasp-masvs/tree/master/Document-ja）

3．第三者機関の診断サービスを利用

スマホアプリのセキュリティについての情報収集や、セキュアコーディングの学習及び実践をすることはとても重要です。しかし、開発工数が限られている中、自分たちだけでセキュリティを強固にすることは難しいこともあります。そんなときは、第三者機関にセキュリティの調査を依頼することがおすすめです。

静的診断

実装を確認して脆弱性が存在しないか、セキュアにコーディングができているか診断します。

• 静的診断サービス例「Secure Coding Checker」
  Androidアプリを実装した際の問題点を約1分で発見し、原因と修正方法を提示する検査ツールです（日本語/英語対応）。SaaS方式の検査環境を提供、Java言語のアプリの検査が可能です。検査はユーザーが実施したいタイミングで何度でも利用できます。

動的診断

実装診断と合わせて端末にインストールしたスマホアプリを動かし、実際の通信の内容やアプリの挙動を調査します。また、脆弱性がないか診断します。

• 動的診断サービス例「スマートフォンアプリケーション診断」
  スマホアプリ（AndroidおよびiOS）にセキュリティ上の問題点がないか、JSSEC（一般社団法人日本スマートフォンセキュリティ協会）や、OWASP（Open Web Application Security Project）Mobileプロジェクトから必要な項目を抽出し、ラック独自の基準で診断します。

 

これら診断サービスを開発工程の中で使用する場合、おすすめのタイミングをご紹介します。開発工程で下記のように、開発中にSecure Coding Checkerを使って実装の問題点をチェックします。Secure Coding Checkerは何度でも使用できるので、都度使うことができます。そしてアプリの実装が完了したら、スマホアプリ診断を実施することにより、網羅的に脆弱性がないかを確認して安全な状態でリリースできます。

スマホアプリ関連のホワイトペーパーとマンガのご紹介

最後に、スマホアプリのセキュリティについて情報をまとめたホワイトペーパーとマンガをご紹介します。皆様のスマホアプリ開発にお役立ていただけましたら幸いです。