ネット決済:スマホ・タブレット端末でのショッピングのリスク 台頭するハッカーからアプリケーションを保護する必要性について 年末年始のショッピングシーズン到来です。家族や友人へのクリスマスギフト、大掃除 の道具やお年賀、福袋に至るまで、これまで現金やクレジットカード片手に街に繰り出 していた人たちの多くが、今やスマホやタブレット端末を使ってネットショッピングを 楽しんでいます。 多くのモバイル端末からの支払いは安全です。実際、お店のレジの端末でカードを読み 取るという旧来のしくみよりもずっと安全だといえます。しかしながら我々は、モバイ ルアプリ攻撃(Key aider、XcodeGhost と Shuanet を含む)の最近の頻発と最近出現し た新しい攻撃手法を憂慮し、そのことについて、休日の買い物客殺到に備えてモバイル 決済に関するセキュリティアプローチを再考している皆様に有用な情報を提供したいと 思いました。 どんな脅威を考慮しなければならないのか? スマホやタブレット端末からの支払いにハッカーが使う攻撃テクニックは進化し続けて います。数多くの攻撃ポイントがありますがその中で主なものを以下にまとめました。 特に重要なのが決済に関するモバイルアプリケーションの暗号化についてです。ここで は暗号化についてハイライトします。その理由は以下の通りです。 大部分のモバイル支払いアプリケーションで、アプリケーションとトランザクショ ンデータを扱うバックエンドのサーバーとの間で安全な通信を確実にするためにデ ータを暗号化しています。 多くの組織は、暗号キーを保護していないか、その保護が難しいと考えています。 実際、IBM が後援する Ponemon 研究所によるサーベイの回答者のうち 80%にあたる人 が、暗号化を破られるリスクを低減することが最も難しいとしています。 残念なことに、ハッカーは、メモリースクレ―ピング技術を使って暗号化キーを解 読する等の手口をはじめとする幅広い暗号キーを発見するための戦術を使ってお り、暗号キーがハッカーの主要なターゲットとなっているのです。アプリケーショ ンの暗号キーとアルゴリズムへのアクセスで、ハッカーはデータとアプリケーショ ンのセキュリティ対策を暴く「王国への鍵」を得ることになります。そして、これ によりいとも簡単にハッカーはセキュリティ制御を回避して決済情報や個人情報を 盗むためのアプリケーションロジックを手に入れることができるのです。 どんな保護をすればよいのか? 攻撃のベクトルは減らないので、真の質問は次のようになります。「所定の限られたリ ソースと時間の中で、最も重要で注力すべき保護は何ですか?」我々は、以下の点を含 む統合アプローチをとることによって最良の結果がもたらされると信じています。: 危険なデバイスの検知 ユーザー認証 データ保護 ランタイムアプリケーション保護 (Note: これらの要因への対処により、ネットワーク保護の重要性は低下しています!) 以下の表は、ハッカーがインターネット決済(モバイル支払い)ソリューションを危殆 化するために現在使用している最も効果的技術に対処するためにあなたができることを まとめたものです。 モバイル決済セキュリティを危うくするハッカーのテクニックと、その対処策 ハッカーがセキュリ ティ脆弱性を探す 犯罪者がアプリケー ションのハッキング を試みる 犯罪者がマルウェア 挿入によって盗んだ 証明書を展開する。 犯罪者が危険なデ バイスでアプリケ ーションを盗もう とする。 ホリスティックな静 的および動的テスト で脆弱性を除去する アプリケーション難 読化とランタイム保 護をする。 モバイル SDK ソリュ ーションで、マルウ ェア感染デバイスか らのアクセスを防御 する。 モバイル SDK で、 脱獄デバイスやル ート化デバイスか らのアクセスを防 ぐ 支払いや決済アプリケーションのすべての重要な暗号キーを保護するために、われわれ は 、標準的な暗号化実装の代わりに“ホワイトボックス暗号化(White Box Cryptography)”と呼ばれる技術を適用することをお勧めしています。最良のホワイト ボックス暗号化ソリューションは、コード難読化と数学的な難読化とを併せ持ちます。 2つの形式を併用することで、静的分析または動的分析を通してキーやアルゴリズム実 装状態を特定しようとしているハッカーに対するハードルを極めて高いものにします。 ホワイトボックス暗号化は、以下を保護します: 静的キー :アプリケーション出荷時に組込まれるキー 動的キー –:ランタイムで動的に生成されるキー 機密情報や個人情報 最後に、組織はモバイル支払いやインターネット決済アプリケーションを使用する場面 でのセキュリティ対策を関係者やユーザーに教育すべきだと考えます。スマホやタブレ ット端末からの支払いや決済に関するソリューションのハッキング攻撃の危険性は、以 下にあげる対策をすることで劇的に低減することができます。 1. モバイルアプリケーションは公式なサイト限定でダウンロードする。(例えば. Google Play®, iTunes®, Facebook®等.) 2. スマホの本体設定を、非公式なサイトからのアプリケーションダウンロードを禁止 するように設定する。 3. モバイルアプリケーションの使用時には、そのサイトやアプリケーションを提供す る銀行や小売店、クレジットカード会社に、「リバースエンジニアリング、不正操 作(タンパリング)、マルウェア挿入」に対する対策が講じられていることを確認 する。それにより個人データやトランザクションデータが確実に保護されているこ とを証明してもらう。 4. 不特定多数に提供されている保護されていない Wi-Fi を使ってモバイル端末から支 払いや決済をしない。出張中やエアポート、カフェ等におり、どうしてもそうした Wi-Fi を使用しなければならない場合は、VPN へアクセスすることをお勧めしま す。 5. 支払い途中で何か不可解な動作が報告された場合は、警告に従い直ちに支払いや入 力をやめて、別な方法での支払いに切り替える。 これらのテクニックを確実に実行すれば、モバイル支払いアプリが危殆化するという危 険を劇的に減少させることができます。 – さらに、潜在的データ漏洩によりダメージ を受ける売上を保護することができるので、年末年始のショッピングによる健全な利益 を確保することができるでしょう。 To Learn More: To learn more about how your organization can maximize mobile application security, check out our blog titled, “Top 10 Actions for Runtime Application Protection.”
© Copyright 2024 Paperzz