[レポート]スマートフォンセキュリティシンポジウム(1)スマホアプリの攻撃シナリオ | ScanNetSecurity
2024.05.04(土)

[レポート]スマートフォンセキュリティシンポジウム(1)スマホアプリの攻撃シナリオ

「スマートフォンセキュリティシンポジウム2012」は、JSSECの1年の活動概要や成果の報告を兼ねて、会員および一般向けに開催されたカンファレンスイベントだ。シンポジウム前半の各セッションの模様をレポートしよう。

研修・セミナー・カンファレンス セミナー・イベント
facebookLINE
JSSEC 理事・事務局長 西本逸郎氏(株式会社ラック 専務理事)
JSSEC 理事・事務局長 西本逸郎氏(株式会社ラック 専務理事) 全 18 枚 拡大写真
11月21日、東京電機大学 東京千住キャンパス 丹羽ホールにおいて、日本スマートフォンセキュリティ協会(JSSEC)主催のシンポジウムが開催された。

この「スマートフォンセキュリティシンポジウム2012」は、JSSECの1年の活動概要や成果の報告を兼ねて、会員および一般向けに開催されたカンファレンスイベントだ。プログラムは、7つのセッションとパネルディスカッションで構成されている。シンポジウム前半の各セッションの模様をレポートしよう。

まず、開会の挨拶を行ったのは、JSSEC 理事・事務局長である西本逸郎氏(株式会社ラック 専務理事)だ。西本氏は、「今回のシンポジウムでスマートフォンを安心して使えるための議論が広がることを楽しみにしていた」とスピーチし、開会を宣言した。

●利用部会は法人向けガイドラインを発表

続く最初のセッションは、JSSEC 利用部会 利用ガイドラインWGリーダー 松下 綾子氏(アルプスシステムインテグレーション株式会社)が、同部会の成果物のひとつである「スマートフォン&タブレットの業務利用に関するセキュリティガイドライン」について、その内容の報告を行った。同ガイドラインでは、スマートフォンの利用シーンにフォーカスした、セキュリティの考え方、活用方法などを解説している。

松下氏は、PCや携帯電話との違いを認識して、端末の特性、アプリの特性、ネットワークの特性を認識してほしいと、モバイルデバイスの業務利用での注意点をアドバイスした。その上で、アプリのパーミッション、パスワード保存、データの保存場所などの具体的な対策が決まるとした。また、BYODについては、流行っているから、生産性が上がるからと、「導入ありき」で考えると有効なセキュリティ対策を立てられなくなるので、目的を明確にすることも重要であるとした。

同ガイドラインは、現在、Android、iOS、BlackBerry、Windows Phone 7に対応しているそうだが、第2版ではWindows Phone 8にも対応したいと抱負を語ってくれた。

●IT企業のBYODは制限が緩い傾向

次のセッションは、PR部会 調査分析WGリーダー 小椋則樹氏(ユニアデックス株式会社)による企業のスマートフォン利用実態調査の概要報告(正式な報告書は近日公開予定)だ。この調査は、会員企業を対象に行われたものだ。そのためスマートフォンを業務用に支給している企業が82%に達するなど、特徴的な結果もでているが、主な利用アプリケ―ションは、メールやファイル共有、グループウェアなどが多く、CRMやSFA、業務のワークフローなどとの連携はまだ十分でないという結果もでている。

また、調査対象にIT系企業が多く、従業員に一定の情報リテラシーが期待できるためか、セキュリティの制限は比較的緩く利便性を優先させている傾向もみてとれる。BYODでは、関連ツールの不足などから運用の難しさを訴えるセキュリティ担当者が多いことなども明らかになったという。小椋氏は、今後は調査対象を広げ、一般企業や個人利用の実態調査を行いたいと述べ、セッションを終了した。

●プラットフォームクラウドの時代はBIOSセキュリティが課題

休憩をはさみ、次はJSSEC代表理事・会長である安田浩氏(東京電機大学 未来科学部 学部長)が登壇した。安田氏の講演は今回のシンポジウムの基調講演となるものだ。安田氏は、米国NISTが8月に発表したサーバーBIOSセキュリティに対する標準化案を提示し、BIOSやMBR(マスターブートレコード)といった、アプリケーションやOSより下層のセキュリティに取り組む必要があると述べた。

その背景には、スマートフォンを含むモバイルコンピューティングの時代こそ、仮想化、クラウドが重要な基盤となる現実が横たわっているという。安田氏によれば、スマートフォンなどの普及は、「プラットフォームクラウド」という考え方が拡大するとして、それを支える仮想化サーバーのセキュリティの根本、すなわちBIOSの改ざんやMBRの不正アクセスから守らる必然性が高まっているとのことだ。このレイヤに攻撃をしかけられると、仮想サーバーごとに対策を施しても、不正なOSやプログラムの自由な起動を許してしまう可能性がある。

なお、安田氏がいうプラットフォームクラウドとは、サービスクラウド(SaaS)環境と仮想個人環境(VPE)を同時に提供するクラウド環境のことだ。個人のデスクトップ環境もクラウド化することで、(スマートフォンの多くはそれが進んでいる)シンクライアントレベルのセキュリティが確保され、特別なスキルや設定作業なしで誰でもコンピューティング環境が手に入るというものだ。

●スマホアプリの攻撃シナリオとその対策

続く技術部会 セキュアコーディンググループ リーダー 松並勝氏(ソニーデジタルネットワークアプリケーションズ株式会社)のセッションは、JSSECのもうひとつの目に見える成果である「Androidアプリのセキュア設計・セキュアコーディングガイド」を紹介するものだ。

Androidアプリに関する脆弱性は、今年に入ってから急増している。2011年の同アプリの脆弱性の報告件数は8件だったのに対し、2012年は、9月末現在でも90件にも達する。その脆弱性を分類すると、ほとんどがアクセス制御に関する問題だという。つまり、多くのアプリがコーディング時にちょっとした注意をし、セキュアなプログラミングを心掛ければ解決可能な問題ともいえるのである。松並氏は、同ガイドブックを作った背景と、そのニーズについてこのように説明した。

セッションでは、不適切なアクセス制御によって、端末の個人的な画像をTwitterに投稿されてしまうアプリや、なりすましによって悪意のある投稿をしてしまうアプリ、他のアプリからTwitterのID/パスワードが読めてしまうアプリなど、ガイドブックに掲載された事例から、攻撃シナリオ、問題点と対策などを解説した。

(中尾真二)

《ScanNetSecurity》

関連記事

この記事の写真

/

関連リンク

特集

PageTop

アクセスランキング

  1. ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

    ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

  2. クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

    クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

  3. 信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

    信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

  4. 今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

    今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

  5. 「味市春香なごみオンラインショップ」に不正アクセス、16,407件のカード情報が漏えい

    「味市春香なごみオンラインショップ」に不正アクセス、16,407件のカード情報が漏えい

  6. SECON 2024 レポート:最先端のサイバーフィジカルシステムを体感

    SECON 2024 レポート:最先端のサイバーフィジカルシステムを体感

  7. 山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

    山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

  8. 「シャドーアクセスとは?」CSAJ が定義と課題をまとめた日本語翻訳資料公開

    「シャドーアクセスとは?」CSAJ が定義と課題をまとめた日本語翻訳資料公開

  9. 2023年「業務外利用・不正持出」前年 2 倍以上増加 ~ デジタルアーツ調査

    2023年「業務外利用・不正持出」前年 2 倍以上増加 ~ デジタルアーツ調査

  10. トレーニング 6 年ぶり復活 11/9 ~ 11/15「CODE BLUE 2024」開催

    トレーニング 6 年ぶり復活 11/9 ~ 11/15「CODE BLUE 2024」開催

ランキングをもっと見る
ホーム 研修・セミナー・カンファレンス セミナー・イベント 記事
TOP