モバイル SDK と WDK

モバイル用のソフトウェア開発キット (SDK) やウェアラブル開発キット (WDK) を顧客に提供し、顧客自身でアプリを短期間で作成できるように支援する企業が最近増えています。SDK と WDK のメリットはたくさんあります。モバイル SDK/WDK を作成したり活用したりすることの利点は、次のとおりです。

Screen Shot 2016-07-31 at 11.29.40 PM
  • 展開の時間を短縮: モバイル SDK/WDK を利用すると、統合作業が単純化されます。モバイル SDK/WDKは、複雑なユースケースが必要な場合でも API の統合を実現し、開発プロジェクトがより迅速に進められるように支援します。
  • セキュリティの強化: モバイル SDK/WDK を利用すると、開発ライフサイクルの早い段階から、セキュリティ面の懸案事項が見えやすくなるので、開発者にとっては、その対策についての選択肢が増えて、制御がしやすくなります。例えば、モバイル端末での支払い処理にはPCI 規格へのコンプライアンスが必要です。さらに、パスワードを保存するための特別な要件が必要なプラットフォームも存在します。SDK/WDK はこうした場面で、必要なセキュリティの実装を支援します。

注: セキュアなコーディングと従来のアプリ保護の仕組みだけでは、最近急速に拡大している脅威から SDK を守ることはできません。また、開発者は必ずしもセキュリティに関する専門家であるとは限りません。

  • 知的財産 (IP) とブランドを保護: モバイル SDK/WDK を使うと、企業の知的財産 (IP) とブランドが傷つかないように、コードの重要な部分の安全を確保することができます。

SDK と WDK が直面している脅威 – 依然としてセキュリティが課題に

UNIX の共同開発者の 1 人である Ken Thompson は以前、モバイル SDK に関して、ハッカーはモバイル SDK を攻撃する可能性があることを示す概念実証 (PoC) を実施しました。モバイル SDK を改ざんして、トロイの木馬方式でバックドアとなるコードを埋め込み、その不正な SDK を配布するという方法です。

一方 IBM の研究者は、Dropbox が提供している Android SDK に、モバイル端末のユーザーを危険にさらす、攻撃に対する脆弱性が残されていることを発見しました。この問題は、Dropbox の本来のサービスや Dropbox のモバイル アプリ本体ではなく、Dropbox が提供している SDK に含まれていました。サードパーティの開発者が、問題のあるコードを SDK に挿入していました。SDK を使用したユーザーの Dropbox ファイルは、外部から簡単に接続できる状態になります。この脆弱性を利用する攻撃には、次の 2 種類がありました。1 つは、ユーザーの端末に悪意のあるアプリをインストールすること、もう 1 つは、「ドライブバイダウンロード」(ユーザーが気づかないうちにその端末にソフトウェアをダウンロードさせる) を遠隔操作で実行することです。

一方、Apple は最近、サードパーティが提供する広告 SDK を使って開発された一連のアプリに問題があったことを特定しました。この広告 SDK は、モバイル端末向けの広告プロバイダーである Youmi が開発し提供していたものです。この SDK を使って開発したアプリは、Youmi が独自開発した API に依存する構造になっており、この API が、ユーザーのメールアドレスや端末の ID などの個人情報を収集し、Youmi のサーバーに送信していました。

SDK に関連付けられているセキュリティのリスクで最も一般的なのは、ユーザーがインストールしたアプリケーションが、正規のアプリであるかのように装った、マルウェアを含む不正アプリだったというものです。

さらに、直接的な共有を実現するテクノロジーを利用して (SDK、ライブラリ、WDK などの形式で) 自社で所有するコードや IP を露出させる行為には、大きなリスクがあります。

Arxan はモバイル SDK とウェアラブル開発キット (WDK) も保護します

Screen Shot 2016-07-31 at 11.32.45 PM

Arxan は、モバイル端末とウェアラブル アプリ向けに、埋め込み式のセキュリティ ライブラリを提供して、ソフトウェアの質と機密情報を保護します。

SDK と WDK についての当社のアプローチは、アプリケーション強化と RASP (Runtime Application Self-Protection: 実行中のアプリケーションが自身を保護すること) に、全面的にプログラミングが可能な、不正管理機能を加えたものをお客様に提供するというものです。

こうした対策によって以下を実現します。

  • 攻撃からの防御
  • アプリ実行中の (ランタイム) 攻撃の検出
  • ランタイム攻撃に対してカスタマイズした対策を実行

Arxan のアプローチでは、リバースエンジニアリングやコードの改ざんなどのアプリケーションへの攻撃によって、お客様が特許を取得している知的財産 (IP) が改変されたり複製されたりすることがないことも保証します。

SDK/WDK の安全を確保するために Arxan が現在採用している技術の詳細は、ケーススタディをご覧ください。




参考資料: