アプリとバックエンドサービス間の実装に不備多し? - マカフィー

  [2016/01/18]

Webサービス事業者がモバイルアプリを制作する際に必要とするものが、データストレージやデータ管理機能などのバックエンドサービスだ。

AmazonやFacebook(Parse)、Googleがこの種のサービスを提供しているが、これらのサービスはあくまでアプリインフラを提供するものであり、セキュリティのガイドラインをアプリ開発者が順守しなければ、セキュリティは脆弱なものとなる。例えば、多くのモバイルアプリは秘密鍵をアプリに組み込んでおり、銀行口座情報、クレジットカード情報などの重要なデータの操作はアプリのベース部分とは異なる領域を使用することが推奨されている。

その一方で、マカフィーがドイツのダルムシュタット工科大学やフラウンホーファー研究機構安全情報技術研究所と共同で200万個のモバイルアプリを調査したところ、多くのアプリが脆弱な状態にあり、氏名やメールアドレス、パスワード、写真、口座情報、医療記録などを保存しているクラウドストレージへの不正アクセスが可能だったという。こうした情報は当然、なりすまし犯罪やマルウェア配布、金銭の詐取につながるおそれがある。

ただし、マルウェアが埋め込まれたモバイルアプリもセキュリティの甘い場合は調査することができる。実際、マカフィーが29万4817件のアプリを分析したところ、16件がセキュリティの脆弱なアプリで、これらは「Android/OpFake」「Android/Marry」というモバイルバンキングを狙うトロイの木馬と連携していることがわかった。

そのうちの例では、ロシアで人気のインスタントメッセージ・アプリからのメッセージを装ったメッセージにリンクを埋め込み、アプリをインストールさせる。そのアプリは、アプリアイコンを非表示にしてバックグラウンドで起動してSMSを傍受、ユーザーの情報をC&Cサーバへ送信していた。マルウェアのエージェントは、感染したスマートフォンのコマンドを管理するためにバックエンドサービスを利用しており、モバイルバンキング・アプリから送られてくるSMSを待ち受けて、改変・再利用していたという。

これらのマルウェアファミリーは、2015年6・7月の2カ月で17万件近くのSMSを傍受しており、多くが感染端末所有者のプライバシーに影響するものだった。そして当然、銀行口座に関連するクレジットカード番号や残高照会、送金履歴といった銀行の取引情報も含まれていた。この間に実行されたコマンドは2万回で、4万人が被害を受けていた。

同社では、こうしたアプリへの対策について以下の2項目を挙げている。

  • 第三者にセキュリティチェックを受けた有名なアプリを利用する

  • デバイスをルート化しない

<お知らせ>
ITソリューション検討Information

マイナビニュースのIT Search+では、ITソリューションの検討に役立つ情報を掲載しています。
ここでは、IT Search+の人気記事ベスト3をご紹介。ぜひ、ビジネスにお役立てください。



IT製品 "比較/検討" 情報

転職ノウハウ

あなたが本領発揮できる仕事を診断
あなたの仕事適性診断

シゴト性格・弱点が20の質問でサクッと分かる!

「仕事辞めたい……」その理由は?
「仕事辞めたい……」その理由は?

71%の人が仕事を辞めたいと思った経験あり。その理由と対処法は?

3年後の年収どうなる? 年収予報
3年後の年収どうなる? 年収予報

今の年収は適正? 3年後は? あなたの年収をデータに基づき予報します。

激務な職場を辞めたいが、美女が邪魔して辞められない
激務な職場を辞めたいが、美女が邪魔して辞められない

美人上司と可愛い過ぎる後輩に挟まれるエンジニアの悩み

特別企画 PR

人気記事

一覧

イチオシ記事

新着記事

声優・内田彩、8月13日に日本武道館でソロライブ開催決定
[07:00 5/29] ホビー
キャンプ場、廃工場で結婚式!?ウェディング界の革命児の“次なる一手”とは
[06:00 5/29] エンタメ
芦田愛菜&シャーロット、感動の演技バトルを披露『OUR HOUSE』第7話
[06:00 5/29] エンタメ
「世界一美しいクモ」の求愛行動がネットで話題、モテないオスは…
[05:00 5/29] エンタメ
[劇的ビフォーアフター]放送14年でリフォーム300軒に
[05:00 5/29] エンタメ

特別企画 PR

求人情報