2018年のはじめ、仮想通貨取引所コインチェックのハッキング被害が世界的に報道されたのは記憶に新しい。サイバー攻撃という言葉を聞くと、国や企業に被害を及ぼすイメージが強いが、実は私たちの生活ツールであるスマホやパソコンなどのIoT機器も、日常的にその危険に晒されている。

このため、サイバー攻撃から守るさまざま手段が講じられている。今回、株式会社アールワークスは、スマホアプリ、Webアプリ、IoT機器の脆弱性を手動で診断する株式会社イエラエセキュリティのサービスを「SECURE-AID Advanced」として提供を開始した。

Webの脆弱性を診断から解消まで一括代行

株式会社アールワークスは、Webシステムの脆弱性診断から脆弱性解消までを一括代行する「SECURE-AID」を2017年から提供しているが、今回、この上位サービスとして「SECURE-AID Advanced」を提供する。

「SECURE-AID Advanced」は、iOS/Android アプリ両方でリバースエンジニアリングでの静的診断を実施する。スマートフォンアプリは、サーバー上のAPIとスマートフォン内のクライアントアプリによって構成されているため、サーバー上のアプリとクライアントアプリの両方に対して脆弱性診断を行う。

アプリ解析としては、データ共有機能のアクセス不備、アプリ連携機能のアクセス制御不備、WebView の脆弱性有無、難読化の有無、ソースコードへの重要情報の診断を行う。

また、出力有無、端末データの検査としては、端末内のデータの不備、端末内データ改ざんによる不正行為、パーミッションの不備、SDカードへの機密情報の出力、ログへの機密情報の出力を検査する。

APIサーバーへの通信内容の検査としては、不正通信の確認、サーバー環境の不備、セッション管理、エラー処理状況、通信路の問題を検査する。

Webアプリの脆弱性診断としては、Java、PHP、Perl、Rubyなどで開発されたWebアプリケーションに対して検査を行う。

Webアプリケーションの設計や実装、ロジックなどに起因して、ネットワークを経由して不正侵入や情報漏洩、サービス不能に悪用することのできる脆弱性がないか、実際にネットワークを経由して不正な値の入力や、リクエスト改ざん、不正コードの挿入等の擬似攻撃を行い確認する。

また、IoT機器の脆弱性診断としては、プロトコル診断、DoSテスト、ファームウェアテストなどを行う。

これらのサービス導入により、次のような課題が解決可能となるという。

  • 社内に何重もの情報管理体制を敷いて対策しているが、第三者的な観点でのセキュリティ診断を外部に依頼したい。
  • 複数のWebサービスやスマホアプリを展開しているため、セキュリティ診断の仕方が異なり負担が大きい。
  • IoT製品/サービスのセキュリティ診断を委託できる会社がない。
  • セキュリティ診断の質を保ちながら、コストを抑えたい。
  • セキュリティ診断の豊富な実績を持った会社に委託したい。

2018年のサーバー攻撃が予測される4つの領域

冒頭でも述べたが、2018年はじめに起きた仮想通貨NEMの流出事件は我々に大きな衝撃を与えた。このように、身近になったサイバー犯罪だが、我々はその実態について知っておく必要があるのではないだろうか。

ここでは、米RSAがまとめた「2018年のサイバー犯罪の現状」から2018年のサイバー犯罪の傾向をみてみよう。

「2018年のサイバー犯罪の現状」では2018年に顕著な動きが見られると予想される領域を4つ挙げている。

1つ目は、大規模な情報漏えいによるアカウント乗っ取りの増加である。現在、大規模な情報漏えいとフィッシング攻撃により、数十億件もの個人情報、つまりユーザー名やパスワードなどが闇市場に大量流出しているという。

2つ目は、サイバー犯罪者は、効率良く“安全な”方法と技術を常に模索しているということ。同レポートによると、それはソーシャルメディアとブロックチェーンとIoTだという。今後、これらにサイバー犯罪者の注目が集まると予測している。

3つ目は、オムニチャネルの拡大、オープンAPI、ファスターペイメントなど不正行為に悪用できる新たな脆弱性の登場だという。

そして、4つ目は、カード発行会社と加盟店による3D SECURE 2.0導入準備だという。クレジットカード取引における不正利用は高度化してきており、1時間あたりの損失は66万ドルになるという。

これらの予測から、サービス事業者はすべてのデジタル チャネルで効果的なセキュリティ対策を行う必要に迫られているのがわかる。

RSAは、不正行為を防ぐためには、統合された脅威インテリジェンス機能を活用したモバイル環境やクラウド環境にも展開できるソリューションが必要と考えるとしている。

サイバー犯罪への対策の必要性

ITの力によって成り立っていると言っても過言ではない現代社会では、スマホやパソコンなしの生活は考えられないだろう。しかし、そこにはサイバー攻撃というかつて、我々が直面したことのない新たな脅威が現れた。

我々の生活においては、実犯罪の脅威からは国や警察が守ってくれる。しかし、サイバー攻撃やIT系の犯罪はなかなかそうもいかないのが現状だ。今回の「SECURE-AID Advanced」のようなサービスなどを利用することはもちろん、サイバー犯罪への個人のリテラシーを高めていくことがこれからの社会には必要になってきそうだ。

img: PR TIMES