ブログ

悪意のある人物によるモバイル アプリへの攻撃を阻止する

ベス・マケロイ サムネイル
ベス・マケロイ
2023年8月23日公開

モバイル マルウェアやその他の悪意のあるアクティビティは、モバイル ユーザーが携帯電話からショッピング、銀行取引、健康状態の確認などを行う際に引き続き問題を引き起こします。 エンドユーザーの役割は攻撃の被害を回避することですが、モバイル環境の安全を確保するのは、最終的にはアプリプロバイダー(製品チーム、運用チーム、プライバシー セキュリティ チーム)の責任です。 これらのモバイル アプリを通じて流れる機密データも、権限のない詮索好きな目から遠ざける必要があります。

モバイル リスクは少し異なります

組織はクラウド、ネットワーク、Webapplicationの保護への投資を増やしていますが、多くの組織では依然として、企業所有と BYOD の両方のデスクトップやラップトップなどの従来のエンドポイントと同じようにモバイルapplicationsを扱っています。

ただし、モバイル環境では特有の課題が生じ、これらのシステムが危険にさらされる可能性があります。 たとえば、攻撃者はデバイスに侵入し、データを盗み、特権アクセスを取得し、applicationを悪用するために、次のような方法に頼ることがよくあります。

  • モバイルアプリの再パッケージ化
  • マルウェアの注入
  • フックフレームワークのハイジャック
  • オーバーレイ攻撃の実行

悪意のある人物がモバイル アプリを制御すると、モバイル側のapplicationから離れて、自動化された攻撃を使用してサーバー側のapplicationsへの攻撃を開始することが可能になります。 ここでは、クレデンシャル スタッフィング、アカウント乗っ取り、スクレイピングなど、さまざまな悪質なボット攻撃を実行する可能性があります。

あらゆるセキュリティ プログラムの主な目標は、環境を侵害から保護することですが、この最終目標は、次のようなコンプライアンス標準を満たす必要性によって最初に決定されることがよくあります。

  • プライバシー: GDPR、CCPA
  • 支払い: EMVCo SBMP、PCI-DSS、PSD2
  • 健康記録: HIPAA

このような現実を踏まえ、Google Cloud と F5 の専門家が集まり、これらの課題について議論するウェビナーを開催し、クラウド エンジニアリング、アプリ開発者、運用チーム、セキュリティ専門家が協力して、DevSecOps プログラム全体でモバイル アプリのセキュリティが十分に管理されるようにするための道筋を示しました。

ここでの大きな課題は、ユーザー エクスペリエンスに影響を与えることなく、セキュリティとプライバシーをエンド ユーザーにシームレスに拡張しながら、今日の最新の適応型モバイル アプリの要求をサポートできる適切なインフラストラクチャを選択することです。 同様に重要なのは、CI/CD パイプラインの配信プロセスを中断や遅延から保護することです。

異なる視点が重要

ウェビナーでは、ActualTech Media のモデレーターであるJess Steinbach 氏が、Google Cloud の戦略技術パートナー マネージャーであるJoshua Haslett 氏と、F5 のサイバーセキュリティ エバンジェリストであるPeter Zavlaris氏にいくつかのシナリオを説明しました。

ビジネスリーダーシップ

組織が 1 つ以上の規制や標準に準拠しているからといって、モバイル アプリのリスクや法的影響がなくなるわけではありません。 同様に、モバイルのリスク プロファイルは、従来の Web アプリとは異なる視点で見る必要がありますが、それでもより大きなリスクの全体像に統合する必要があります。

パネルでは、モバイル アプリが悪意のある人物に乗っ取られる可能性がある場合に、ビジネス リーダーがビジネスに対するリスクの変化を判断および計算するためにどのように貢献できるかについても議論されました。

ITおよびセキュリティ運用

IT チームとセキュリティ チームは、モバイル アプリのセキュリティを開発および配信ライフサイクルに適切に統合するためにインフラストラクチャに加える必要のある変更に対して、より適切に準備するために協力する機会を得られます。

もちろん、目標は、ツール、配信、チーム構造、または運用に大きな影響を与えずに行うことです。 パネルでは、ローコード テクノロジを使用してモバイル アプリのセキュリティを展開および構成する方法と、以前の侵入テストや監査の結果が、モバイル アプリを組み込んだより堅牢な AppSec プログラムの戦略、計画、コミュニケーションの形成にどのように役立つかについて議論しました。

エンジニアリングおよび開発業務

このグループが、自分たちが構築しているモバイル アプリがどのように侵害される可能性があるかをよりよく理解できるように、パネルでは、アプリの再パッケージ化とフック攻撃の仕組みについて説明し、エンジニアリング チームと運用チームがこれらの脅威からアプリをより適切に保護するための取り組みを調整する方法について現場からの考えを共有しました。

明るい話題としては、パネルでは、エンジニアリング チームがモバイル アプリのセキュリティ リスクを明確に把握して対処する計画を立てることで、CI/CD パイプラインの隠れたメリットを見つける方法についても紹介されました。 セキュリティは、リスクを軽減する以上の効果をもたらすことがあります。この場合、プロセスと結果を改善することもできます。

実際の事例が行動を起こすことの価値を物語る

また、グループは、モバイルをより広範な CI/CD および DevSecOps プロセスに組み込む必要性を示すために、いくつかの実際の例についても議論しました。

  • コンプライアンスの維持: チームは、モバイル アプリの配信とメンテナンスにほとんど影響を与えることなく、GDPR や HIPAA などの規制要件を満たすことができます。
  • 合理化された運用: IT 運用部門は、チームを疲弊させることなく、IT 運用部門同士および経営幹部チームとのコミュニケーションのベスト プラクティスを活用して、増加するモバイルの脅威に適切に対処できます。
  • アプリ内脅威防御: DevOps チームは、AppSec の態勢を継続的に監視および評価して、実行時にアプリを標的とする脅威から効果的に防御し、SecOps チームと重要な情報を交換して、可能な限り最善の対応を実現できます。

モバイル攻撃の狂気を止めよう

モバイル アプリのセキュリティ プログラムが、これらのシステムを標的とするリアルタイムのランタイム脅威に対してどのように対抗できるかを知りたい場合は、オンデマンドの「不正な行為者によるモバイル アプリへの攻撃を阻止する」ウェビナーをご覧ください。