[レポート]スマートフォンセキュリティシンポジウム(1)スマホアプリの攻撃シナリオ | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.08.18(金)

[レポート]スマートフォンセキュリティシンポジウム(1)スマホアプリの攻撃シナリオ

研修・セミナー・カンファレンス セミナー・イベント

11月21日、東京電機大学 東京千住キャンパス 丹羽ホールにおいて、日本スマートフォンセキュリティ協会(JSSEC)主催のシンポジウムが開催された。

この「スマートフォンセキュリティシンポジウム2012」は、JSSECの1年の活動概要や成果の報告を兼ねて、会員および一般向けに開催されたカンファレンスイベントだ。プログラムは、7つのセッションとパネルディスカッションで構成されている。シンポジウム前半の各セッションの模様をレポートしよう。

まず、開会の挨拶を行ったのは、JSSEC 理事・事務局長である西本逸郎氏(株式会社ラック 専務理事)だ。西本氏は、「今回のシンポジウムでスマートフォンを安心して使えるための議論が広がることを楽しみにしていた」とスピーチし、開会を宣言した。

●利用部会は法人向けガイドラインを発表

続く最初のセッションは、JSSEC 利用部会 利用ガイドラインWGリーダー 松下 綾子氏(アルプスシステムインテグレーション株式会社)が、同部会の成果物のひとつである「スマートフォン&タブレットの業務利用に関するセキュリティガイドライン」について、その内容の報告を行った。同ガイドラインでは、スマートフォンの利用シーンにフォーカスした、セキュリティの考え方、活用方法などを解説している。

松下氏は、PCや携帯電話との違いを認識して、端末の特性、アプリの特性、ネットワークの特性を認識してほしいと、モバイルデバイスの業務利用での注意点をアドバイスした。その上で、アプリのパーミッション、パスワード保存、データの保存場所などの具体的な対策が決まるとした。また、BYODについては、流行っているから、生産性が上がるからと、「導入ありき」で考えると有効なセキュリティ対策を立てられなくなるので、目的を明確にすることも重要であるとした。

同ガイドラインは、現在、Android、iOS、BlackBerry、Windows Phone 7に対応しているそうだが、第2版ではWindows Phone 8にも対応したいと抱負を語ってくれた。

●IT企業のBYODは制限が緩い傾向

次のセッションは、PR部会 調査分析WGリーダー 小椋則樹氏(ユニアデックス株式会社)による企業のスマートフォン利用実態調査の概要報告(正式な報告書は近日公開予定)だ。この調査は、会員企業を対象に行われたものだ。そのためスマートフォンを業務用に支給している企業が82%に達するなど、特徴的な結果もでているが、主な利用アプリケ―ションは、メールやファイル共有、グループウェアなどが多く、CRMやSFA、業務のワークフローなどとの連携はまだ十分でないという結果もでている。

また、調査対象にIT系企業が多く、従業員に一定の情報リテラシーが期待できるためか、セキュリティの制限は比較的緩く利便性を優先させている傾向もみてとれる。BYODでは、関連ツールの不足などから運用の難しさを訴えるセキュリティ担当者が多いことなども明らかになったという。小椋氏は、今後は調査対象を広げ、一般企業や個人利用の実態調査を行いたいと述べ、セッションを終了した。

●プラットフォームクラウドの時代はBIOSセキュリティが課題

休憩をはさみ、次はJSSEC代表理事・会長である安田浩氏(東京電機大学 未来科学部 学部長)が登壇した。安田氏の講演は今回のシンポジウムの基調講演となるものだ。安田氏は、米国NISTが8月に発表したサーバーBIOSセキュリティに対する標準化案を提示し、BIOSやMBR(マスターブートレコード)といった、アプリケーションやOSより下層のセキュリティに取り組む必要があると述べた。

その背景には、スマートフォンを含むモバイルコンピューティングの時代こそ、仮想化、クラウドが重要な基盤となる現実が横たわっているという。安田氏によれば、スマートフォンなどの普及は、「プラットフォームクラウド」という考え方が拡大するとして、それを支える仮想化サーバーのセキュリティの根本、すなわちBIOSの改ざんやMBRの不正アクセスから守らる必然性が高まっているとのことだ。このレイヤに攻撃をしかけられると、仮想サーバーごとに対策を施しても、不正なOSやプログラムの自由な起動を許してしまう可能性がある。

なお、安田氏がいうプラットフォームクラウドとは、サービスクラウド(SaaS)環境と仮想個人環境(VPE)を同時に提供するクラウド環境のことだ。個人のデスクトップ環境もクラウド化することで、(スマートフォンの多くはそれが進んでいる)シンクライアントレベルのセキュリティが確保され、特別なスキルや設定作業なしで誰でもコンピューティング環境が手に入るというものだ。

●スマホアプリの攻撃シナリオとその対策

続く技術部会 セキュアコーディンググループ リーダー 松並勝氏(ソニーデジタルネットワークアプリケーションズ株式会社)のセッションは、JSSECのもうひとつの目に見える成果である「Androidアプリのセキュア設計・セキュアコーディングガイド」を紹介するものだ。

Androidアプリに関する脆弱性は、今年に入ってから急増している。2011年の同アプリの脆弱性の報告件数は8件だったのに対し、2012年は、9月末現在でも90件にも達する。その脆弱性を分類すると、ほとんどがアクセス制御に関する問題だという。つまり、多くのアプリがコーディング時にちょっとした注意をし、セキュアなプログラミングを心掛ければ解決可能な問題ともいえるのである。松並氏は、同ガイドブックを作った背景と、そのニーズについてこのように説明した。

セッションでは、不適切なアクセス制御によって、端末の個人的な画像をTwitterに投稿されてしまうアプリや、なりすましによって悪意のある投稿をしてしまうアプリ、他のアプリからTwitterのID/パスワードが読めてしまうアプリなど、ガイドブックに掲載された事例から、攻撃シナリオ、問題点と対策などを解説した。

(中尾真二)
《ScanNetSecurity》

関連記事

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

研修・セミナー・カンファレンス カテゴリの人気記事 MONTHLY ランキング

  1. FFRI 鵜飼裕司の Black Hat USA 2017 注目 Briefings ~ マルウェアの復活

    FFRI 鵜飼裕司の Black Hat USA 2017 注目 Briefings ~ マルウェアの復活

  2. あのランサムウェアはいくら儲かったのか? Locky が 780 万ドル、WannaCry は?

    あのランサムウェアはいくら儲かったのか? Locky が 780 万ドル、WannaCry は?

  3. サイバー犯罪捜査に正しい知識と技術を - 静岡のITベンチャー

    サイバー犯罪捜査に正しい知識と技術を - 静岡のITベンチャー

  4. これまでの 20 年とこれからの 20 年 ~ Black Hat 2017 ジェフ・モス開会挨拶

  5. アジア最大規模の国際セキュリティカンファレンス ISEC 2017、韓国ソウルで9月開催

  6. 「CODE BLUE 2017」は11月、一般向けおよび女性向けCTF国際大会を初開催(CODE BLUE事務局)

  7. ランサムウェアの歴史と未来 - 世界最初のランサムウェアはフロッピーを郵送?(ESET)[Security Days Spring 2017 レポート]

  8. 開発者などに向けたアプリケーションセキュリティトレーニングを無償開催(The OWASP Foundation)

  9. 高度IT人材の発掘~セキュリティ・キャンプの応募課題がすごすぎる件

  10. アジア人初の DEF CON CTF ファイナリスト集団によるハンズオントレーニング、虎ノ門ヒルズに開校

全カテゴリランキング

特集

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×