スマホアプリの“目立たぬ弱点”　分かっていても対策が難しいワケ ：「見えないWeb攻撃」──情報漏えい対策の盲点（1/2 ページ）

今回は「スマホアプリの“目立たぬ弱点”　分かっていても対策が難しいワケ ：「見えないWeb攻撃」──情報漏えい対策の盲点（1/2 ページ）」についてご紹介します。

関連ワード （今後拡大、倍以上、情報等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、It Media News様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　Webアプリケーションへの攻撃は、Webブラウザ向けにHTMLで提供されているサービスに対してのみ行われているわけではない。

多くのスマートフォン用アプリでは、利用者の画面の裏でサーバとのやりとりがWebベースの仕組みで動いている。そこで使われるのがWeb API（以下API）で、現在はJavaScriptから簡単に扱えるJSONという形式（フォーマット）がその通信によく使われている。

　スマートフォンアプリやサービス間連携で、プログラム同士のやりとりに使われるようになったAPI（Application Programing Interface）とAPIサーバは、その背後に大量の認証情報や個人情報などの機微な情報を含むデータベースが存在することが多い。にもかかわらず、これまで企業やブランドの顔となってきた企業サイトやWebブラウザ向けサービスに比べてセキュリティ対策が後回しになる傾向があり、攻撃者の格好の標的となっている。

　今回は、スマホアプリなどの隠れた弱点となっているAPIを狙う攻撃の現状と対策上の課題について、できるだけ分かりやすく解説してみたい。

連載：「見えないWeb攻撃」──情報漏えい対策の盲点

コンテンツデリバリーネットワーク（CDN）サービスを基盤に、各種のクラウド型セキュリティサービスを手掛けるアカマイ・テクノロジーズでWebセキュリティの動向を追う中西一博氏が、非常に発見が難しくなっているWeb攻撃の実態と手口を暴き、その対策について解説する。

以前の連載：

攻撃の約20%がAPIを標的に

　普段利用するスマホアプリでも、購買や決済、パーソナライズなどの目的で、ID、パスワード認証を行うものは多い。そのログインを司るAPI認証・認可サーバには日々大量の不正なログイン試行がbot（自動実行プログラム）により行われている。世界中の主要なWebベースのコンテンツを配信している米Akamai Technologies（アカマイ）では、観測データからWebベースのサービスに対する不正なログイン試行総数の約20%が、APIサーバに対するものだと分析している。

　SNSなどから漏えいしたIDとパスワードのペア（コンボリスト）が大量に記載されたリストが公開されると、APIサーバを狙ったログイン試行が集中して行われる傾向も観測している。「APIは狙いやすい標的」と攻撃者の目に映っていることが分かる。

APIの弱みは「目立たないこと」

　「APIエコノミー」という言葉が示すように、今や社会のあらゆるサービスがAPIを介して連携を始め、経済圏を形成しつつある。しかしAPIの利用は、金融API、公共機関が提供するOpen APIなどのサービス間連携や、IoTなど今後拡大していく分野だけではない。すでにスマートフォンアプリのサーバとして大量のAPIサーバが使われている。アカマイの集計では、現在のAPIのリクエスト数は、すでにWebブラウザからのリクエストの5倍以上となっている。

　それほど利用されているAPIサーバに、十分なセキュリティ対策が施されていない理由がいくつかある。

　1つ目の理由は、「サーバが目立たないこと」だ。一般的にスマートフォン向けのアプリは、EC事業や顧客向けサービスを提供する事業部門が外注業者などに開発を委託し、アプリとAPIサーバが対になって納品される。ところがアプリの開発者は、必ずしもセキュリティの専門家ではない。その結果、アプリケーションが抱える脆弱性の検証や、Webアプリ向けのファイアウォール（Web Application Firewall, WAF）によるサーバー外部からの保護が不十分なAPIサーバが、事業部門の契約したパブリッククラウド上でひっそりと稼働を始めてしまう。

　このように生じた「目立たない穴」をふさぐための第一歩はガバナンスだ。企業のセキュリティ部門が、企業やグループ内で利用している全てのWeb APIを申請制にして十分検証する。サービス稼働後もサービス拡張や、システム改変で脆弱性は生じやすいので、定期的に棚卸しを行い、検証する体制を作る必要がある。

Copyright © ITmedia, Inc. All Rights Reserved.

新型コロナと自治体―保健所の統廃合がもたらした現実と今後 ...

全国の保健所が半減し、大阪市も1保健所化されて20年が経過したいま、新型コロナウイルスの感染拡大で、保健所の役割が注目されています。実態と今後の取り組みを考えます。

Twitter

詳細の表示を試みましたが、サイトのオーナーによって制限されているため表示できません。

「PayPay」のこれまでの成長と今後の取り組みについて - プレ …

 · 「PayPay」のこれまでの成長と今後の取り組みについて ～ 人々の生活をもっと便利でもっと豊かにする「スーパーアプリ」へ進化、新型コロナウイルス感染症（COVID-19）の拡大防止対策も …

越前松島水族館[公式] 割引クーポンも♪ 見て・ふれて・楽しく ...

見て・ふれて・楽しく学べる越前松島水族館。館内紹介や交通アクセス方法、時期ごとの営業時間や館内でのふれあいなどを紹介します。越前松島国定公園の日本海に面した福井県坂井市の水族館です。

2025年問題で看護師が余る？！理由と今後の働き方を解説 ...

 · 「2025年問題により看護師が余る」という予測を聞き、今後の雇用や働き方に不安を感じる方のために、看護師が余る理由を解説します。また、2025年を見据えた働き方についてもご紹介。今後どのようにキャリアを積むのか考えて ...

おぎやはぎ矢作、加藤浩次の今後を心配「いよいよ干されるの ...

　お笑いコンビ、おぎやはぎの矢作兼（４９）が１０日放送のフジテレビ系「バイキングＭＯＲＥ」（月～金曜前１１・５５）に生出演。吉本興業との専属エージェント契約を今…

情報(じょうほう)とは何？Weblio辞書

情報とは、簡単にいえば、「 伝え られる 内容 」のことである。. 主に「 伝達 」という 行為 において やりとり される、 事実 、 知識 、 データ 、 合図 （ 信号 ）、 等々 、あるいは、その 事実 や 知識 を 伝達 するという 行為 そのもの 。. あるいは、「しらせ」（ 知らせ ・ 報せ ）。. 日本語 の「情報」という 言葉 は 明治 頃から 文献 に 登場 している。. 漢語 ...

情報 - Wikipedia

情報（じょうほう、英語: information 、ラテン語: informatio）とは、 あるものごとの内容や事情についての知らせ [1] のこと。

情報とは - コトバンク

ブリタニカ国際大百科事典 小項目事典 - 情報の用語解説 - 国家，団体，または個人が，敵対，対立，競合関係にある国家，団体，個人についての状況を知るために獲得する知識をいう。対象が友好国 (団体，個人) もしくは，自己または第三者に関する相手側の情報ないしは判断もまた情報として処理される...

情報 (教科) - Wikipedia

情報（じょうほう、Information [1], Informatics [2] ）は、日本の後期中等教育の課程（高等学校の課程、中等教育学校の後期課程、特別支援学校の高等部）における教科の一つである。

情報屋さん。

情報屋さん。では、芸能情報・ゲーム・雑学・小ネタ・おもしろなどネットに転がる様々な情報をほぼ毎日紹介しています

IPA 独立行政法人 情報処理推進機構

複雑・膨大化する情報社会システムの安全性・信頼性の確保による“頼れるIT社会”の実現に向け、IT施策の一端を担う政策実施機関として、情報セキュリティ、ソフトウェア高信頼化、IT人材育成等の施策を展開します。

日本気象協会 tenki.jp【公式】 / 天気・地震・台風

日本気象協会公式の天気予報専門メディアです。市区町村別のピンポイントな天気予報に加え、専門的な気象情報、地震・津波などの防災情報を提供します。気象予報士が日々更新する日直予報士、花粉や熱中症、スキー積雪などの季節特集も人気です。

地震情報 - 日本気象協会 tenki.jp

 · 花粉飛散情報 (1～5月頃) 桜開花情報 (2～5月頃) GWの天気 (4～5月頃) 梅雨入り・明け (5～7月頃) 熱中症情報 (4～9月頃) 紅葉見ごろ情報 (10～11月頃) ヒートショック (10～3月頃) スキー積雪情報 (11～5月頃) 初日の出 (12～1月頃)

Yahoo!天気・災害 - 天気予報 / 防災情報

天気予報はもちろん、天気に関するあらゆる情報・災害情報を迅速にお伝えする天気・災害総合サイト。全国各地の雨雲の動きをリアルタイムにチェックできる「雨雲レーダー」や、花粉や熱中症、積雪情報など、季節ごとの天気情報も。

乗換案内、時刻表、運行情報 - Yahoo!路線情報

Yahoo!路線情報：全国の路線や高速バス、路線バス、飛行機の乗り換え案内サービスです。始発・終電検索、JR・地下鉄・私鉄の定期代検索、新幹線・電車の運行情報、時刻表、主要空港のフライト情報も提供中。