【スマートフォン利用者】アプリのセキュリティ対策

ニュース

日常生活において、4人に3人が保有しているという数字が公表されているスマートフォン。インターフェースが洗練されていて、特にコンピューターに関する詳しい知識も不要で多くの用途に活用できるスマホは多くのユーザーから支持を得ている。もはやスマホなしでは生活が成り立たないというユーザーもいるほどで、生活の中に深く浸透しつつある。その中で当たり前のように使用しているのがスマホアプリ、Webアプリです。パソコンのみならず、スマートフォンやタブレットの利用者が増えるのに比例して、アプリのセキュリティリスクも高くなっています。

今回は、アプリ開発者が意識しているセキュリティ対策について解説していきます。

SSL/TLSでの暗号化通信

パソコンとサーバー間の通信データを暗号化することで、通信時に内容を他者に読み取られないようにします。通信内容を読み取られると、悪用されて個人情報の不正利用などにつながります。

ソースコードの難読化とソースの見直し

アプリのプログラムを解読されにくくします。ソースコードを解読されると、その中にあるバグや脆弱性をつかれてサイバー攻撃を受ける可能性があります。またセキュリティ技術に関しても随時更新することでユーザーを保護しアプリの安定化に繋げます。

※企業のアプリ開発向上のために、他社のアプリのリバースエンジニアリングをすることは許されておりますが、WEB上などの不特定多数が閲覧できる場所へ公開することは、利用規約などによって禁止されている場合が多く、場合によっては「偽計業務妨害罪」「侵害罪」などに問われる場合がございます。

サーバーの秘匿化

悪意あるプログラムからの攻撃や犯罪者からの攻撃を防ぐためにも、設置してあるサーバーの場所・仕様などは非公開にする。大手のアプリサーバーの設置場所などは非公開となっております。

アプリ開発者として下記のことを意識して開発を行っているのが良心的な開発リテラシーと言えます。

1.個人情報などの不必要な情報は扱わない
取り扱う情報量が増えれば、それだけセキュリティリスクは高まります。アプリ内に会員登録フォームを設けるケースも多いですが、本当に必要かどうか開発する前に確認いたしましょう。

2.HTTPS経由でサイトを表示する
インターネットの通信方式には主にHTTPとHTTPSがありますが、安全なのはHTTPSでの通信です。HTTPSによる通信では、アクセスしているサーバーの身元証明ができるほか、やり取りする情報が全て暗号化されます。

さらに、データベースへアクセスしたり、Web管理画面からコンテンツを更新したりする仕組みが加わると、WAF(Web Application Firewall)のようなWebサーバー側でのセキュリティ対策も必須となります。

3.アップデートによる改修
アップデートをしているアプリケーションは、様々なユーザーや開発からの報告によってアプリの不具合を改修されており、ユーザーの立場に立ったアプリケーションと言えます。特に過渡期にあるアプリケーションなどは頻繁にアップデートする傾向にあります。

4.IPアドレスの管理
インターネットでのアプリやWebへのアクセスは、IPアドレスによって管理されておりサイバー攻撃やハッキングなどのサイバー犯罪の際、個人の特定などで捜査機関に提出されるものになります。

※IPを詐称するプロキシや他人のPCをハッキングして他人を装うサイバー攻撃でも、捜査機関のサイバー犯罪対策部署へのIT関連企業の協力により特定が可能になってきているので、サイバー攻撃は絶対に行わないでください。


サイバー攻撃者の特性

サイバー攻撃者は基本的に「費用対効果」を意識して行動する。無差別に行動して対価を得られなければ、自身にとって罪を犯すリスクにしかならないからだ。彼らは犯罪というリスクをとり大金を狙うため、リスク低減と効率性を重要視する。アプリを使っての犯罪でもこの原則があてはまる。偽アプリとして出回るものには主に3つのパターンがある。

1)アプリとして人気があり、多くのダウンロード数が期待できる
2)制作の手間が多くないが一定のダウンロード数が見込める
3)アプリ経由で重要な情報や金銭のやりとりがおこなわれる

スマホユーザーへのアドバイス

アプリの最新バージョンは、様々なバグ、不具合、セキュリティ技術が解消されているので、頻繁に更新されているアプリこそ最新バージョンにアップデートしてご利用ください。

たまにアップデートがしばらく行われていないアプリなどもありますが、開発の断念などによりセキュリティ上の危険性が考えられますので使用は控えた方が無難です。

iPhoneの場合、基本的にApp Store経由でアプリをダウンロードして利用いたします。一方、Android端末では公式のGoogle Playが存在するが、ストア外でもダウンロードして利用できます。要するに、Googleの目が届かないところにアプリを置き配布できてしまう危険性があります。

更に言えば、審査の厳しいApp Storeを擁するiPhoneでは偽アプリが出回ることはAndroid端末と比較すると多くはありません。一方でAndroidアプリは偽アプリのニュースに事欠かない状況です。最近では金融系アプリを偽装したものの存在が大きな話題となりました。

Android及びiOSのアップデートにより、アプリ開発はその都度テストを繰り返し、アプリケーションのアップデートを繰り返しております。

特にAndroidはメーカー毎に機種が多様化しており開発には多大な労力がかかります。iPhoneも機種が増えてきてユーザーインターフェイスの不具合まで時間を割くことができない場合もあります。

その場合は、不具合報告などは提供している企業が準備しているお問い合わせなどで報告し、次回のアップデートなどに対応してもらうことも大切です。

ユーザーとアプリ開発は切っても切れない関係なのです。

PAGE TOP