[レポート]スマートフォンセキュリティシンポジウム(1)スマホアプリの攻撃シナリオ

11月21日、東京電機大学東京千住キャンパス丹羽ホールにおいて、日本スマートフォンセキュリティ協会（JSSEC）主催のシンポジウムが開催された。

この「スマートフォンセキュリティシンポジウム2012」は、JSSECの1年の活動概要や成果の報告を兼ねて、会員および一般向けに開催されたカンファレンスイベントだ。プログラムは、7つのセッションとパネルディスカッションで構成されている。シンポジウム前半の各セッションの模様をレポートしよう。

まず、開会の挨拶を行ったのは、JSSEC 理事・事務局長である西本逸郎氏（株式会社ラック専務理事）だ。西本氏は、「今回のシンポジウムでスマートフォンを安心して使えるための議論が広がることを楽しみにしていた」とスピーチし、開会を宣言した。

●利用部会は法人向けガイドラインを発表

続く最初のセッションは、JSSEC 利用部会利用ガイドラインWGリーダー松下綾子氏（アルプスシステムインテグレーション株式会社）が、同部会の成果物のひとつである「スマートフォン＆タブレットの業務利用に関するセキュリティガイドライン」について、その内容の報告を行った。同ガイドラインでは、スマートフォンの利用シーンにフォーカスした、セキュリティの考え方、活用方法などを解説している。

松下氏は、PCや携帯電話との違いを認識して、端末の特性、アプリの特性、ネットワークの特性を認識してほしいと、モバイルデバイスの業務利用での注意点をアドバイスした。その上で、アプリのパーミッション、パスワード保存、データの保存場所などの具体的な対策が決まるとした。また、BYODについては、流行っているから、生産性が上がるからと、「導入ありき」で考えると有効なセキュリティ対策を立てられなくなるので、目的を明確にすることも重要であるとした。

同ガイドラインは、現在、Android、iOS、BlackBerry、Windows Phone 7に対応しているそうだが、第2版ではWindows Phone 8にも対応したいと抱負を語ってくれた。

●IT企業のBYODは制限が緩い傾向

次のセッションは、PR部会調査分析WGリーダー小椋則樹氏（ユニアデックス株式会社）による企業のスマートフォン利用実態調査の概要報告（正式な報告書は近日公開予定）だ。この調査は、会員企業を対象に行われたものだ。そのためスマートフォンを業務用に支給している企業が82％に達するなど、特徴的な結果もでているが、主な利用アプリケ―ションは、メールやファイル共有、グループウェアなどが多く、CRMやSFA、業務のワークフローなどとの連携はまだ十分でないという結果もでている。

また、調査対象にIT系企業が多く、従業員に一定の情報リテラシーが期待できるためか、セキュリティの制限は比較的緩く利便性を優先させている傾向もみてとれる。BYODでは、関連ツールの不足などから運用の難しさを訴えるセキュリティ担当者が多いことなども明らかになったという。小椋氏は、今後は調査対象を広げ、一般企業や個人利用の実態調査を行いたいと述べ、セッションを終了した。

●プラットフォームクラウドの時代はBIOSセキュリティが課題

休憩をはさみ、次はJSSEC代表理事・会長である安田浩氏（東京電機大学未来科学部学部長）が登壇した。安田氏の講演は今回のシンポジウムの基調講演となるものだ。安田氏は、米国NISTが８月に発表したサーバーBIOSセキュリティに対する標準化案を提示し、BIOSやMBR（マスターブートレコード）といった、アプリケーションやOSより下層のセキュリティに取り組む必要があると述べた。

その背景には、スマートフォンを含むモバイルコンピューティングの時代こそ、仮想化、クラウドが重要な基盤となる現実が横たわっているという。安田氏によれば、スマートフォンなどの普及は、「プラットフォームクラウド」という考え方が拡大するとして、それを支える仮想化サーバーのセキュリティの根本、すなわちBIOSの改ざんやMBRの不正アクセスから守らる必然性が高まっているとのことだ。このレイヤに攻撃をしかけられると、仮想サーバーごとに対策を施しても、不正なOSやプログラムの自由な起動を許してしまう可能性がある。

なお、安田氏がいうプラットフォームクラウドとは、サービスクラウド（SaaS）環境と仮想個人環境（VPE）を同時に提供するクラウド環境のことだ。個人のデスクトップ環境もクラウド化することで、（スマートフォンの多くはそれが進んでいる）シンクライアントレベルのセキュリティが確保され、特別なスキルや設定作業なしで誰でもコンピューティング環境が手に入るというものだ。

●スマホアプリの攻撃シナリオとその対策

続く技術部会セキュアコーディンググループリーダー松並勝氏（ソニーデジタルネットワークアプリケーションズ株式会社）のセッションは、JSSECのもうひとつの目に見える成果である「Androidアプリのセキュア設計・セキュアコーディングガイド」を紹介するものだ。

Androidアプリに関する脆弱性は、今年に入ってから急増している。2011年の同アプリの脆弱性の報告件数は8件だったのに対し、2012年は、9月末現在でも90件にも達する。その脆弱性を分類すると、ほとんどがアクセス制御に関する問題だという。つまり、多くのアプリがコーディング時にちょっとした注意をし、セキュアなプログラミングを心掛ければ解決可能な問題ともいえるのである。松並氏は、同ガイドブックを作った背景と、そのニーズについてこのように説明した。

セッションでは、不適切なアクセス制御によって、端末の個人的な画像をTwitterに投稿されてしまうアプリや、なりすましによって悪意のある投稿をしてしまうアプリ、他のアプリからTwitterのID/パスワードが読めてしまうアプリなど、ガイドブックに掲載された事例から、攻撃シナリオ、問題点と対策などを解説した。

（中尾真二）