10月30日、国内で1000万件以上の個人情報を不正入手した容疑者5人が逮捕された。TVや新聞各紙で大きく報道されたことからご存知の方も多いだろう。
今回の事件がこれまでと異なるのは、狙われたのがスマートフォンであったことだ。容疑者らは、Google Playにおいて「○○ The Movie」という名称の不正アプリを複数公開。インストールして起動するとムービーが再生されるが、背後では端末に保存されているメールや電話帳のデータを吸い出し、遠隔地のサーバに送信していたのである。
およそ9万台のスマートフォンに取り込まれ、約1183万件が漏洩したとされている。
「こうしたアプリが怖いのは、素人目には普通のアプリにしか見えない点です。インストールはおろか、実行しても不審な点が表に現れないため、報道されて初めて不正アプリだったと気づく方もいらっしゃるかもしれません」
このように解説するのは、SCSKにおいて脆弱性診断を専門とする長尾亮氏である。
すでにThe Movie系アプリは削除されているが、「いつ同じようなアプリが登場しても不思議ではない」と長尾氏は話す。
プロフィール
長尾亮(NAGAO Ryo)
SCSK ITマネジメント事業部門 セキュリティーソリューション部 Webセキュリティソリューション課 マネージャー。Webアプリケーションエンジニアを経て2007年よりセキュリティ関連の業務に携わっている。年間40サイト以上の脆弱性診断に従事する一方、数多くの企業においてトレーニングを実施し、セキュリティ診断の内製化支援を手掛けている。また海外のセキュリティ製品を取り扱っており、ワールドワイドでのセキュリティ事情にも精通。
スマートフォンでは、アプリ開発者が被害に遭う可能性も
長尾氏によると、スマートフォンの2大プラットフォームのうち、特に注意が必要なのはAndroidの方だという。
iOSアプリは、公開するまでにアップルによる審査を経なければならない。一方、Androidアプリはほとんど審査のない状態で配布ができてしまう。自由度の高さがメリットではあるが、危険と背中合わせであることも事実だろう。
そして、注意が必要なのはユーザーだけではない。実は、アプリを開発する側も被害に遭う可能性があるのだ。
「Androidの場合、不正アプリが他のアプリに対して攻撃をしかけるということも考えられます。開発者の意図せぬかたちでアプリ連携が行われ、ユーザーに大きな被害をもたらすということもありうるのです」(長尾氏)
長尾氏によると、アプリ間の攻撃で突かれる脆弱性としては、コンポーネントによるアクセス制限不備などが想定されるという。情報の受け渡しやアプリの連携で必要になるものだが、不用意に許可してしまうと他のアプリに乗っ取られかねない。一般的なWebアプリ開発では出てこない概念なので、特に新たにAndroidアプリ開発を始めるプログラマーは注意が必要だという。
「スマートフォン周りで言えば、そのほかにも、例えば無線LAN通信も大きな危険性をはらんでおります。データが暗号化されていなければ、IDやパスワード、クレジットカード番号などの機密情報を盗み取られる可能性もあります。こうした一連の問題を防ぐうえで大切なのは、やはり正しい作法に則ったセキュアコーディングです。プラットフォームを過信せず、アプリ側で危険を潰していくという姿勢が必要になります」(長尾氏)
では、スマートフォンアプリの開発においては、どういった問題が考えられ、どのような対策が必要になるのか。そのあたりの詳細が、11月22日(木)に開催される『モバイルアプリケーションのセキュリティの最新動向と対策』で解説される予定である。
当日は、SCSKが提供する脆弱性診断ソリューションや、そこで使われている「IBM Rational AppScan」をベースに、スマートフォンアプリ開発に必要なセキュリティ対策が、デモストレーションを交えながら解説される予定である。アプリ開発者やプロジェクト管理者には有益な時間になるだろう。