こちらは、2019年5月27日に公開された以下のドキュメントを翻訳したものとなります。
Mobile app hacking: why it’s becoming popular and how to prepare against attacks
スマートフォンの急激な増加と世界的なインターネットの接続可能性の高性能化に伴い、オンライントラフィックの大部分がモバイルに移行しました。企業も活動の中心をモバイルアプリに移行し、この機会を逃すまいとしています。モバイルアプリの魅力は企業の宣伝に便利という観点のみならず、ユーザーの使い心地もいいという点です。事実、モバイルの使用率は非常に高く、複数のデバイスに同期していないサービスは好まれません。
モバイル中心のエコシステムのマイナス面
モバイルアプリはハッカーによる悪用や攻撃の主要なベクトルとなっています。RSAの最新の統計で、驚くべきことにハッキング攻撃のうち3/4についてモバイルのアプリが原因となっていることが明らかになりました。
ブラウザを使用した攻撃は減りましたが、今度はハッカーのROI(費用対効果)によりアプリを介したものへと変わってきています。この統計ではまた、有料アプリのトップ(iOSおよびAndroid)のうち90%がハッキングされているということも示唆しています。
この数字からわかることは、モバイルアプリのセキュリティが確実であるべき重要なことであるのに、そのための一致したアクションがとられていないことで被害に遭っているということです。結果として事業に重大な損失を引き起こし、信用と評判の失墜を招きます。
モバイルアプリをハッキングすること、またそれをモバイルデバイスを介して行うことは、個人情報や金銭取引情報など、闇サイトで取引されるようなユーザー情報の宝庫をハッカーに与えるようなものです。モバイルアプリのハッキングよる損害は、企業に平均4百万ドルであり、急激に拡大し続けています。 Intertrustによると2021年には損害額が15億ドルに到達する見込みです。
攻撃のベクトル
開発に比べてセキュリティ面にはあまり企業が投資しないという事実も、ハッカーが優位にたつ要因です。一般的に多くの場合において、セキュリティ対策はプロアクティブなアプローチではなく受け身型の保護に特化しています。ハッキングの被害が実際に発生してからモバイルアプリの保護に必要な要素が強化されますが、これでは手遅れです。
なりすましで(バイナリを変更することにより)再分配されたアプリにマルウェアが注入されるという脅威が迫ってきています。オンラインの確固たる顧客基盤を固めようとする企業に甚大なリスクを引き起こす恐れがあります。
基本的なモバイルのOSにあるデバイスのフラグメンテーションと抜け穴は、マルウェアがインジェクトされたアプリの分配を簡単にハッカーに許してしまっていました。データの暗号化や2要素認証などのこれまでの保護方法では、対して意味がありませんでした。ハッカーは腕を磨き、企業が導入しているセキュリティツールのソリューションよりも1歩先に進んだ技術を身に着けてきたのです。ハッキングが「起こるかもしれないもの」ではなく「起こるもの」になった時代において、目前に迫った大惨事に真っ向から対抗していく必要があります。マーケットには多くのセキュリティソリューションがあるので、そこから脅威に効果的に対応する1つを選ばなければなりません。さらに保護メソドロジーがプロアクティブかつ斬新であることも大切です。
ディベロッパーにお勧めしたいモバイルアプリケーションセキュリティのベストプラクティス10選を参照してください。
適切なアプローチ
ハッカーがさまざまな攻撃のオプションを有している現在、企業にとって見守り型のアプローチを採用するのはもはや自殺行為です。ハッキング攻撃がますます増大し精巧になってきていることから、モバイルアプリセキュリティに包括的に取り組むのに効果的な唯一の方法は、セキュリティロードマップを計画して積極的にソリューションを採用することです。専門のハッカー集団が出現してきたり、「ゲーム感覚のハッキング」に巻き込まれる現代の流れにおいて、このような効果的に大規模の不測の事態にに対応し企業の利益を悪影響から守るセキュリティソリューションへの投資は全くもって妥当です。開発者がとれる最小限の対策は、モバイルアプリがOWASPやモバイルアプリのセキュリティリスクTop10から保護されていることを確実にすることです。安全そうな見える脆弱なリンクがたった一つあるだけで、環境全体を危険にさらすことになります。
ワンストップソリューションとしてのAppSealing
AppSealingは企業にエンドツーエンドの包括的なセキュリティセットを提供します。今あるセキュリティの脅威に対してアプリケーションに保険をかけるだけでなくランタイムアプリケーション自己保護(RASP)を使用してランタイムの脅威に対してアプリを保護します。有効なアラートとアクションプランがすぐに作成され、企業のオーナーが脅威を見逃さないようにします。AppSealingはソースコードを暗号化しアプリのインテグリティを保ちます。アプリを覆うレイヤとして陣取り、チートツールとエミュレータ検出が複数の攻撃ベクトルに対して確実にランタイム保護を行います。AppSealingはモバイルゲームやO2Oビジネス、fintechなど幅広いジャンルのアプリに対応するサポートを提供しています。
今こそAppSealingを導入して、パフォーマンスの問題に悩まされることなく素早くモバイルアプリを保護しましょう!目前に迫る脅威からモバイルアプリを保護して利益損失を防ぎましょう。
コメント
0件のコメント
サインインしてコメントを残してください。