ネット決済:スマホ・タブレット端末でのショッピングのリスク台頭するハッカーからアプリケーションを保護する必要性について年末年始のショッピングシーズン到来です。家族や友人へのクリスマスギフト、大掃除の道具やお年賀、福袋に至るまで、これまで現金やクレジットカード片手に街に繰り出していた人たちの多くが、今やスマホやタブレット端末を使ってネットショッピングを楽しんでいます。多くのモバイル端末からの支払いは安全です。実際、お店のレジの端末でカードを読み取るという旧来のしくみよりもずっと安全だといえます。しかしながら我々は、モバイルアプリ攻撃（Key aider、XcodeGhost と Shuanet を含む）の最近の頻発と最近出現した新しい攻撃手法を憂慮し、そのことについて、休日の買い物客殺到に備えてモバイル決済に関するセキュリティアプローチを再考している皆様に有用な情報を提供したいと思いました。どんな脅威を考慮しなければならないのか? スマホやタブレット端末からの支払いにハッカーが使う攻撃テクニックは進化し続けています。数多くの攻撃ポイントがありますがその中で主なものを以下にまとめました。特に重要なのが決済に関するモバイルアプリケーションの暗号化についてです。ここでは暗号化についてハイライトします。その理由は以下の通りです。  大部分のモバイル支払いアプリケーションで、アプリケーションとトランザクションデータを扱うバックエンドのサーバーとの間で安全な通信を確実にするためにデータを暗号化しています。  多くの組織は、暗号キーを保護していないか、その保護が難しいと考えています。実際、IBM が後援する Ponemon 研究所によるサーベイの回答者のうち 80%にあたる人が、暗号化を破られるリスクを低減することが最も難しいとしています。  残念なことに、ハッカーは、メモリースクレ―ピング技術を使って暗号化キーを解読する等の手口をはじめとする幅広い暗号キーを発見するための戦術を使っており、暗号キーがハッカーの主要なターゲットとなっているのです。アプリケーションの暗号キーとアルゴリズムへのアクセスで、ハッカーはデータとアプリケーションのセキュリティ対策を暴く「王国への鍵」を得ることになります。そして、これによりいとも簡単にハッカーはセキュリティ制御を回避して決済情報や個人情報を盗むためのアプリケーションロジックを手に入れることができるのです。どんな保護をすればよいのか? 攻撃のベクトルは減らないので、真の質問は次のようになります。「所定の限られたリソースと時間の中で、最も重要で注力すべき保護は何ですか？」我々は、以下の点を含む統合アプローチをとることによって最良の結果がもたらされると信じています。:  危険なデバイスの検知  ユーザー認証  データ保護  ランタイムアプリケーション保護 (Note: これらの要因への対処により、ネットワーク保護の重要性は低下しています!) 以下の表は、ハッカーがインターネット決済（モバイル支払い）ソリューションを危殆化するために現在使用している最も効果的技術に対処するためにあなたができることをまとめたものです。モバイル決済セキュリティを危うくするハッカーのテクニックと、その対処策ハッカーがセキュリティ脆弱性を探す犯罪者がアプリケーションのハッキングを試みる犯罪者がマルウェア挿入によって盗んだ証明書を展開する。犯罪者が危険なデバイスでアプリケーションを盗もうとする。ホリスティックな静的および動的テストで脆弱性を除去するアプリケーション難読化とランタイム保護をする。モバイル SDK ソリューションで、マルウェア感染デバイスからのアクセスを防御する。モバイル SDK で、脱獄デバイスやルート化デバイスからのアクセスを防ぐ支払いや決済アプリケーションのすべての重要な暗号キーを保護するために、われわれは、標準的な暗号化実装の代わりに“ホワイトボックス暗号化（White Box Cryptography）”と呼ばれる技術を適用することをお勧めしています。最良のホワイトボックス暗号化ソリューションは、コード難読化と数学的な難読化とを併せ持ちます。２つの形式を併用することで、静的分析または動的分析を通してキーやアルゴリズム実装状態を特定しようとしているハッカーに対するハードルを極めて高いものにします。ホワイトボックス暗号化は、以下を保護します：  静的キー：アプリケーション出荷時に組込まれるキー  動的キー –：ランタイムで動的に生成されるキー  機密情報や個人情報最後に、組織はモバイル支払いやインターネット決済アプリケーションを使用する場面でのセキュリティ対策を関係者やユーザーに教育すべきだと考えます。スマホやタブレット端末からの支払いや決済に関するソリューションのハッキング攻撃の危険性は、以下にあげる対策をすることで劇的に低減することができます。 1. モバイルアプリケーションは公式なサイト限定でダウンロードする。(例えば. Google Play®, iTunes®, Facebook®等.) 2. スマホの本体設定を、非公式なサイトからのアプリケーションダウンロードを禁止するように設定する。 3. モバイルアプリケーションの使用時には、そのサイトやアプリケーションを提供する銀行や小売店、クレジットカード会社に、「リバースエンジニアリング、不正操作（タンパリング）、マルウェア挿入」に対する対策が講じられていることを確認する。それにより個人データやトランザクションデータが確実に保護されていることを証明してもらう。 4. 不特定多数に提供されている保護されていない Wi-Fi を使ってモバイル端末から支払いや決済をしない。出張中やエアポート、カフェ等におり、どうしてもそうした Wi-Fi を使用しなければならない場合は、VPN へアクセスすることをお勧めします。 5. 支払い途中で何か不可解な動作が報告された場合は、警告に従い直ちに支払いや入力をやめて、別な方法での支払いに切り替える。これらのテクニックを確実に実行すれば、モバイル支払いアプリが危殆化するという危険を劇的に減少させることができます。 – さらに、潜在的データ漏洩によりダメージを受ける売上を保護することができるので、年末年始のショッピングによる健全な利益を確保することができるでしょう。 To Learn More: To learn more about how your organization can maximize mobile application security, check out our blog titled, “Top 10 Actions for Runtime Application Protection.”