アプリとバックエンドサービス間の実装に不備多し? - マカフィー

 

Webサービス事業者がモバイルアプリを制作する際に必要とするものが、データストレージやデータ管理機能などのバックエンドサービスだ。

AmazonやFacebook(Parse)、Googleがこの種のサービスを提供しているが、これらのサービスはあくまでアプリインフラを提供するものであり、セキュリティのガイドラインをアプリ開発者が順守しなければ、セキュリティは脆弱なものとなる。例えば、多くのモバイルアプリは秘密鍵をアプリに組み込んでおり、銀行口座情報、クレジットカード情報などの重要なデータの操作はアプリのベース部分とは異なる領域を使用することが推奨されている。

その一方で、マカフィーがドイツのダルムシュタット工科大学やフラウンホーファー研究機構安全情報技術研究所と共同で200万個のモバイルアプリを調査したところ、多くのアプリが脆弱な状態にあり、氏名やメールアドレス、パスワード、写真、口座情報、医療記録などを保存しているクラウドストレージへの不正アクセスが可能だったという。こうした情報は当然、なりすまし犯罪やマルウェア配布、金銭の詐取につながるおそれがある。

ただし、マルウェアが埋め込まれたモバイルアプリもセキュリティの甘い場合は調査することができる。実際、マカフィーが29万4817件のアプリを分析したところ、16件がセキュリティの脆弱なアプリで、これらは「Android/OpFake」「Android/Marry」というモバイルバンキングを狙うトロイの木馬と連携していることがわかった。

そのうちの例では、ロシアで人気のインスタントメッセージ・アプリからのメッセージを装ったメッセージにリンクを埋め込み、アプリをインストールさせる。そのアプリは、アプリアイコンを非表示にしてバックグラウンドで起動してSMSを傍受、ユーザーの情報をC&Cサーバへ送信していた。マルウェアのエージェントは、感染したスマートフォンのコマンドを管理するためにバックエンドサービスを利用しており、モバイルバンキング・アプリから送られてくるSMSを待ち受けて、改変・再利用していたという。

これらのマルウェアファミリーは、2015年6・7月の2カ月で17万件近くのSMSを傍受しており、多くが感染端末所有者のプライバシーに影響するものだった。そして当然、銀行口座に関連するクレジットカード番号や残高照会、送金履歴といった銀行の取引情報も含まれていた。この間に実行されたコマンドは2万回で、4万人が被害を受けていた。

同社では、こうしたアプリへの対策について以下の2項目を挙げている。

  • 第三者にセキュリティチェックを受けた有名なアプリを利用する

  • デバイスをルート化しない

<お知らせ>
ITソリューション検討Information

マイナビニュースのIT Search+では、ITソリューションの検討に役立つ情報を掲載しています。
ここでは、IT Search+の人気記事ベスト3をご紹介。ぜひ、ビジネスにお役立てください。



転職ノウハウ

あなたが本領発揮できる仕事を診断
あなたの仕事適性診断

シゴト性格・弱点が20の質問でサクッと分かる!

「仕事辞めたい……」その理由は?
「仕事辞めたい……」その理由は?

71%の人が仕事を辞めたいと思った経験あり。その理由と対処法は?

3年後の年収どうなる? 年収予報
3年後の年収どうなる? 年収予報

今の年収は適正? 3年後は? あなたの年収をデータに基づき予報します。

激務な職場を辞めたいが、美女が邪魔して辞められない
激務な職場を辞めたいが、美女が邪魔して辞められない

美人上司と可愛い過ぎる後輩に挟まれるエンジニアの悩み

人気記事

一覧

イチオシ記事

新着記事

アウディ「TT クーペ」にエントリーグレードを追加 - 限定モデル2台も発売
[05:27 8/28] ホビー
ボルボ「XC90 エクセレンス」発表 - 後席の居住性を重視した4人乗り高級SUV
[05:16 8/28] ホビー
ボルボ「XC60 クラシック」をラインアップに追加 - 装備を充実させたモデル
[04:58 8/28] ホビー
メルセデス・ベンツ「C 300 クーペ スポーツ」を発売 - 専用エンジンを搭載
[04:44 8/28] ホビー
「メルセデスAMG C 43 4MATIC」9速AT搭載などの改良を実施 - クーペ追加も
[04:39 8/28] ホビー

求人情報