検索
連載

スマートフォンで「できちゃうこと」って?イチから始める! Androidセキュリティ(1)(3/3 ページ)

「もいちどイチから! HTTP基礎訓練中」でWebアプリケーションの脆弱性と対策について学んだクウが、今度はAndroidの世界に挑戦。Android特有の問題、PCや従来の携帯電話向けのWebアプリとの違いや対策について紹介します。(編集部)

[杉山俊春, Illustrated by はるぷ,株式会社ユービーセキュア] PC用表示 関連情報
Share
Tweet
LINE
Hatena
前のページへ |       

「改ざん」を想定したアプリ作りを

クウ 「……何か危ないってことはよく分かったけど、何でそんなに詳しいの?」

ユウヤ 「まあ、これくらいは知ってないと話にならないしな」

クウ 「ぐぅ……」

ナツ 「なんか面白そうな話してるね〜〜♪ クウはAndroidアプリ作れんの?」

クウ 「家で趣味程度に始めたくらいですけど、何となくはできるようになってきました!それよりも、ユウヤがひどいことするんです!」

ナツ 「うん。何となく聞こえてた。まあ、こういう腹黒い子に端末渡しちゃダメだよ」

ユウヤ 「お腹は白いですよ」

クウ 「もう絶対渡しません!」

ナツ 「いま話してたパスワードも考えないといけないとこだけど、ほかの通信もけっこう危ないかもよ」

クウ 「そうなんですか?」

ナツ 「クウが作ったのって、ランキング機能のあるゲームアプリなんだっけ? そしたら、ランキングの不正とかもけっこうできそうだよね」

クウ 「えー……」

ナツに注意されるクウ

 「通信が改ざんできる状態になっている」ということは、「アプリケーションから重要な情報を送信している場合、その情報が不正なものになっている可能性がある」ということである。

 例えば、上記の例のようにランキングデータを送信する場合、スコアデータを単純にそのまま送信してしまうと、通信経路途中での改ざんは非常に容易だ。結果として、アプリケーションとして成り立たなくなってしまう可能性がある。

*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***

 そのため、改ざんした場合には無効となるよう、データを暗号化するなどの対策が推奨される(注2)。

*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***

【注2】
ただし、暗号化しても、Androidアプリケーションのバイナリであるapkファイルを逆コンパイルした場合に暗号化キーなどが露見してしまう可能性は残る。


 また、このように、改ざんによる不正なデータが混入する可能性があることを想定してアプリケーションを運用することが必要だ。

 こうしたアプリケーションで注意が必要なのは、ランキングデータのように目に見えるデータだけではない。もし、サーバに送信するデータ内に、ログイン状態や課金状態などを含めている場合も、同様に対策の必要がある。Androidアプリケーションでは、Activityごとに完結する設計にする場合があるかもしれないが、情報がサーバ側で管理できるものであれば、セッション管理などの仕組みを用いて、重要な情報は通信内容に表れないようにすることが望ましい。

*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***

 もう1つ、従来の携帯電話向けWebサイトなどでは、送信元IPアドレスによってアクセスを制限していたケースもある。だがスマートフォンの場合、同様の考え方による対策は困難であると想定する必要がある。そもそも送信元IPアドレスを特定するための情報が少ないという要因もあるが、特定できた場合でも、スマートフォンから直接攻撃を行えてしまうため、根本的な解決策とはなり得ない。

 例えば、テザリング(注3)などの手法を用いて、PCからの通信をスマートフォン経由で送信させることも可能だ。また、攻撃用のアプリケーションを作成し、スマートフォンにインストールすることも可能となる。

【注3】
テザリング行為は利用規約などに反する場合もあるため、注意が必要。


 そのため、「通信内容が改ざんできない」、もしくは「改ざんされてもそのことを検知できる」仕組みを導入する必要がある。

 このように、サーバと通信を行うAndroidアプリケーションでは、端末、通信経路、サーバのそれぞれにおいて、発生し得る被害を把握した上で作成することが重要となる。

クウ 「何か、当たり前ですけど、けっこうちゃんとやんないといけないんですね」

ナツ 「まあ、そんなわけで、ある程度分かったところで、今度始まるAndroidアプリの開発プロジェクトへの参加決定ね」

クウ 「おー! 難しそうですけど楽しそうですね♪ ぜひにー」

ユウヤ 「けど、クウの作るアプリはかなり怪しそうですよ」

ナツ 「だいじょぶだいじょぶ。みんなこれから勉強するってとこだから♪」

クウ 「じゃあ、もうちょっとちゃんと作れるように頑張ります!」

ナツ 「そしたら、開発の環境とかも整えておこうか〜」

きょうの格言

きょうの格言

スマートフォンでできることを把握しよう!

できることが多くなるということは、攻撃できる部分も多くなる場合がある。

いままでの携帯とどのように違うのかを正しく把握して、必要な対策を施そう。


クウ壁紙

【クウたちの壁紙カレンダー、配布中!】

本連載のイラストを担当しているはるぷさんによる、毎月更新のカレンダーが配布されています。ぜひご利用ください!

特製ウォールペーパー

http://www.ubsecure.jp/wallpaper.php


Profile

杉山 俊春(すぎやま としはる)

株式会社ユービーセキュア
技術本部 VEXグループ リーダー 兼 セキュリティオーディットコンサルタント

セキュリティコンサルタントとして、主にWebアプリケーションのセキュリティ検査やWebアプリケーション検査ツールの開発などに従事している。大手ショッピングサイトなどの検査実績を持つ。


「次回」へ


「イチから始める! Androidセキュリティ」バックナンバー

Copyright © ITmedia, Inc. All Rights Reserved.

前のページへ |       

Security & Trust 記事ランキング

  1. 「SMSは認証に使わないで」 米CISA、モバイル通信を保護する8つのベストプラクティスを公開
  2. 終わらせましょう。複雑過ぎるKubernetes/クラウドネイティブが生む心理的安全性の低下を――無料でクラウドセキュリティの勘所が分かる130ページの電子書籍
  3. 3割程度のSaaS事業者が標準的なセキュリティ対策をしていない アシュアードがSaaS事業者を調査
  4. 商用国家安全保障アルゴリズム(CNSA)の期限となる2030年までに暗号化/キー管理サービス市場が60億ドルに達するとABI Researchが予測 急成長の要因とは?
  5. AWS、組織のセキュリティインシデント対応を支援する「AWS Security Incident Response」を発表 アラートに圧倒されるセキュリティチームをどう支援?
  6. 中小企業の20%の経営層は「自社はサイバー攻撃に遭わない」と信じている バラクーダネットワークス調査
  7. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  8. ChatGPTやClaudeのAPIアクセスをかたってマルウェアを配布するPython用パッケージ確認 Kasperskyが注意喚起
  9. 「ゼロトラスト」提唱者、ジョン・キンダーバーグ氏が語る誤解と本質――「ゼロトラストの第一歩は『何を守るべきか』を明確にすること」
  10. 「生成AIのサイバー攻撃への悪用」は増加する? 徳丸浩氏が予測する2025年のセキュリティ
ページトップに戻る