小売店のモバイルアプリ – ハッカーが手っ取り早く稼げる新たな標的

「ネットに常時接続」が当たり前の生活を送るコンシューマー (一般消費者) が増え続けている昨今、モバイルは前代未聞の方法で世界を変えています。モバイルは今やコンシューマーの体験の中心となり、この情勢を受けて小売業界は構造改革を余儀なくされています。小売業界でのモバイル アプリ、つまりコンシューマーがオンライン ショッピングで使うアプリや、店員がPOSトランザクションを送信したり新しい支払方法を顧客に提供したりするための業務処理用のアプリは、急激に普及が進んでいます。

  • eコマースのポータルサイト「Internet Retailer」では、今年2016年のモバイルアプリによる小売りの売り上げ額は、全世界で2200億ドルに達すると予測しています。これは前年2015年の売り上げの53%増です。

  • 小売業者で結成したコミュニティ「Shop.org」、調査会社の Forrester Research、別の調査会社の1部門であるBizrateは共同で「The State of Retailing Online Report 2016」(オンライン小売業界の現状 2016年版)と題した調査結果をリポートにまとめました。その中で、小売業者が処理したモバイルアプリ経由の取引は、オンライントラフィックの44%、売り上げ額の31%を占めると発表されています。
    今年も何かと物入りなホリデー シーズンを迎え、小売業者だけでなくコンシューマーも、モバイル ショッピングの利点を大いに活用しています。一方小売業界でのモバイル アプリの普及に伴って、この分野がハッカーにとって、効率よく稼げる新たな標的となっていることが分かってきました。米国のメディア「ABC News」の報道によると、Ugg、Dillards、Dollar Tree、Zappos、New Balanceなどで、正規アプリを装った偽アプリが最近発見されています。

「New York Times」紙の報道によると、Apple 社のiPhoneも偽の買い物アプリの標的にされています。Apple社のアプリの審査は厳しいことで有名ですが、有名店やブランドの公式アプリを装った偽アプリは、その審査を回避して配布されています。被害が報告されている業者の例として、大手小売りチェーンのDollar TreeやFoot Locker、大手デパートのDillard’sやNordstrom、ショッピングサイトではZappos.comやPolyvore、高級ブランドのJimmy Choo、Christian Dior、Salvatore Ferragamoが挙げられています。

ハッカーはどうやってシステムに侵入するか

Web アプリケーションのセキュリティに関しては、大多数の企業が妥当な対策を実施している一方、モバイル アプリケーションについては、ほとんどの場合何の保護もない状態で展開されています。従って攻撃者は、IP の偽装、アプリケーションの不正コピーや不正な方法での配布、悪用を目的とするアプリケーションの改変なども容易に実行することができます。セキュリティ企業 Trend Micro の研究者たちが発表した論文「Fake Apps – Feigning Legitimacy」(偽アプリ – 正当性の偽装) には、「アプリケーションにはリバースエンジニアリング、再パッケージング、再配布などに対する脆弱性が含まれているため、攻撃者は正規のアプリケーションを悪意のあるマルウェアへと簡単に改変することができる」という旨の記述があります。

ハッカーは通常、バイナリ コードに狙いを定めて、高価値のアプリケーションに対する攻撃の足掛かりにします。技術的な知識にあまりなじみがない方のために説明すると、バイナリ コードとはマシンがアプリケーションを実行する際に読み取るコードのことです。ユーザーがアプリ ストアからアプリにアクセスしてダウンロードするのは、バイナリ コードです。広く公開されているツールを使って簡単な操作を2~3実行するだけで、攻撃者は簡単に、アプリケーションのコードに直接アクセスし、これを改変し、悪用することができます。

image1

[画像中の文字]
脱獄したデバイス上で暗号化されたアプリを操作してデータを解読
バイナリコードを逆アセンブル
アセンブリ コードを逆コンパイルして、ハイレベルの C 言語風擬似コードに置換
IDA 逆アセンブラ
復号化
Hex Rays Decompiler (逆コンパイラ)

  • バイナリを分析、またはバイナリに対するリバースエンジニアリングを実行し、機密性の高い情報 (暗号鍵、資格情報、データなど) 、脆弱性、コードの不具合などを特定または抽出して、さらに悪用します。
  • アプリケーションのバイナリからプロプライエタリな知的財産 (IP) を盗み出すか、流出させて、不正な偽アプリケーションを作成します。
  • 正規のアプリとは違う動作をするように、バイナリを改変します。例えば、セキュリティ制御の機能を無効化する、ビジネスルール、ライセンス許諾時の制約、モバイル アプリ内での購入の要件や広告表示の条件をバイパスする、などが挙げられます。さらに、アプリをパッチ、クラック アプリケーション、また極端な場合には新しいアプリケーションとして、不正配布する恐れもあります。
  • 悪意のあるコードをバイナリに挿入し、そのアプリを再パッケージして、新しい (正規のもののように見える) アプリとして公開し、パッチやクラック アプリを装って配布し、無防備なユーザーのデバイス上にこっそり (再) インストールします。

自社のモバイルアプリの安全を守り、金銭的被害やブランドイメージの失墜を防ぐためのヒント

偽アプリや悪意のあるアプリは、ブランドの評判を傷つけ売り上げを低下させるだけです。競争の激しい小売業界の市場では、小売業者の事業戦略において、アプリの重要性は高まる一方です。小売業界では、モバイル アプリを顧客の忠誠度を高めて購入額を伸ばす決め手と位置付けているからです。当社は小売業界のお客様に対して、以下の対策を実行し、ハッカーがアプリケーションを不正にコピーしたり、配布したり、悪意のある目的でアプリケーションを改変したりするのを防止するように推奨しています。

  • バイナリ コードの保護は、アプリケーションのセキュリティ面では最も弱い部分です。ショッピング用のモバイル アプリは、自己防御機能、改ざん防止機能、アプリケーション内の自己回復策などを実装するように、バイナリ レベルから強化を図らなければなりません。ここに挙げた機能によって、以下の攻撃を防止します。
    • アプリのリバース エンジニアリングまたは逆コンパイル
    • モバイル デバイスのroot化または脱獄 (ジェイルブレイク)
    • マルウェアの挿入
    • アプリを偽装し機密性の高いデータにアクセス
    • セキュリティ制御機構や機密保持機能の改ざん
    • 不正アクセスや不正行為
    • コードの不正な改ざんやアプリの再パッケージ化
    • 知的財産 (IP) の盗難または不正コピー
  • Androidベースのショッピング アプリは、暗号鍵とデータ保護策を含み、ホスト カード エミュレーション (HCE) に基づいた、モバイルの決済ソリューションを確保して、以下を実現しなければなりません。
    • 暗号鍵は、容易に発見されないように、静的な形式のままにしたりランタイム メモリ内に置いたりしないで、安全な場所に保存します。
    • データは保存中のもの、通信に含まれているもの、アプリケーションで使用中のものを問わず、全て保護します。
  • 2016 年版「OWASP モバイル トップ10」は、小売業界など、あらゆる業界でモバイル デバイスの利用が拡大していることを受けて、最も多くみられるセキュリティ リスクの上位10件を特定したものです。ここに挙げられた最も頻度の高いリスクは、全て真剣に検討しなければならないものですが、モバイル向けバイナリ コードに対する適切な対策を実施して、特に以下のリスクを軽減してください。
    • M8 – コードの不正変更:バイナリ パッチ、ローカル リソースの改変、メソッド フック、method swizzling (メソッドの実装の差し替え)、メモリの動的な書き換えに伴うリスクです。
    • M9 – リバース エンジニアリング:最終版のコア バイナリを分析し、ソースコード、ライブラリ、アルゴリズム、その他のアセットを特定する行為に伴うリスクです。
  • ショッピング アプリがリバースエンジニアリングや改ざん攻撃に直面しているかどうかを評価し判定する、「モバイル アプリ評価」の導入を検討してください。

ブランドの評判、財務的なトランザクション、個人データ、企業の知的財産は全て、深刻なリスクに直面しています。攻撃者にとっては利益の大きい標的となるからです。小売業者は今こそ、モバイル アプリの安全性を確保するべきです。ハッカーたちがホリデーシーズンを満喫するのを許してはなりません。

皆さんが使っているモバイル決済アプリの安全性を確保するために、この ブログもぜひ参照してください。

投稿者: プラシャント・サンダバマーシー (Prashanth Thandavamurthy)、Arxan Technologiesテクニカル製品マーケティング部門ディレクター


原文:Retail Mobile Apps – A Lucrative Frontier For Hackers