スマホアプリの“目立たぬ弱点” 分かっていても対策が難しいワケ :「見えないWeb攻撃」──情報漏えい対策の盲点(1/2 ページ)

今回は「スマホアプリの“目立たぬ弱点” 分かっていても対策が難しいワケ :「見えないWeb攻撃」──情報漏えい対策の盲点(1/2 ページ)」についてご紹介します。

関連ワード (今後拡大、倍以上、情報等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、It Media News様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 Webアプリケーションへの攻撃は、Webブラウザ向けにHTMLで提供されているサービスに対してのみ行われているわけではない。

多くのスマートフォン用アプリでは、利用者の画面の裏でサーバとのやりとりがWebベースの仕組みで動いている。そこで使われるのがWeb API(以下API)で、現在はJavaScriptから簡単に扱えるJSONという形式(フォーマット)がその通信によく使われている。

 スマートフォンアプリやサービス間連携で、プログラム同士のやりとりに使われるようになったAPI(Application Programing Interface)とAPIサーバは、その背後に大量の認証情報や個人情報などの機微な情報を含むデータベースが存在することが多い。にもかかわらず、これまで企業やブランドの顔となってきた企業サイトやWebブラウザ向けサービスに比べてセキュリティ対策が後回しになる傾向があり、攻撃者の格好の標的となっている。

 今回は、スマホアプリなどの隠れた弱点となっているAPIを狙う攻撃の現状と対策上の課題について、できるだけ分かりやすく解説してみたい。

連載:「見えないWeb攻撃」──情報漏えい対策の盲点

コンテンツデリバリーネットワーク(CDN)サービスを基盤に、各種のクラウド型セキュリティサービスを手掛けるアカマイ・テクノロジーズでWebセキュリティの動向を追う中西一博氏が、非常に発見が難しくなっているWeb攻撃の実態と手口を暴き、その対策について解説する。

以前の連載:

攻撃の約20%がAPIを標的に

 普段利用するスマホアプリでも、購買や決済、パーソナライズなどの目的で、ID、パスワード認証を行うものは多い。そのログインを司るAPI認証・認可サーバには日々大量の不正なログイン試行がbot(自動実行プログラム)により行われている。世界中の主要なWebベースのコンテンツを配信している米Akamai Technologies(アカマイ)では、観測データからWebベースのサービスに対する不正なログイン試行総数の約20%が、APIサーバに対するものだと分析している。

 SNSなどから漏えいしたIDとパスワードのペア(コンボリスト)が大量に記載されたリストが公開されると、APIサーバを狙ったログイン試行が集中して行われる傾向も観測している。「APIは狙いやすい標的」と攻撃者の目に映っていることが分かる。

APIの弱みは「目立たないこと」

 「APIエコノミー」という言葉が示すように、今や社会のあらゆるサービスがAPIを介して連携を始め、経済圏を形成しつつある。しかしAPIの利用は、金融API、公共機関が提供するOpen APIなどのサービス間連携や、IoTなど今後拡大していく分野だけではない。すでにスマートフォンアプリのサーバとして大量のAPIサーバが使われている。アカマイの集計では、現在のAPIのリクエスト数は、すでにWebブラウザからのリクエストの5倍以上となっている。

 それほど利用されているAPIサーバに、十分なセキュリティ対策が施されていない理由がいくつかある。

 1つ目の理由は、「サーバが目立たないこと」だ。一般的にスマートフォン向けのアプリは、EC事業や顧客向けサービスを提供する事業部門が外注業者などに開発を委託し、アプリとAPIサーバが対になって納品される。ところがアプリの開発者は、必ずしもセキュリティの専門家ではない。その結果、アプリケーションが抱える脆弱性の検証や、Webアプリ向けのファイアウォール(Web Application Firewall, WAF)によるサーバー外部からの保護が不十分なAPIサーバが、事業部門の契約したパブリッククラウド上でひっそりと稼働を始めてしまう。

 このように生じた「目立たない穴」をふさぐための第一歩はガバナンスだ。企業のセキュリティ部門が、企業やグループ内で利用している全てのWeb APIを申請制にして十分検証する。サービス稼働後もサービス拡張や、システム改変で脆弱性は生じやすいので、定期的に棚卸しを行い、検証する体制を作る必要がある。

Copyright © ITmedia, Inc. All Rights Reserved.

新型コロナと自治体―保健所の統廃合がもたらした現実と今後 ...

全国の保健所が半減し、大阪市も1保健所化されて20年が経過したいま、新型コロナウイルスの感染拡大で、保健所の役割が注目されています。実態と今後の取り組みを考えます。

Twitter

詳細の表示を試みましたが、サイトのオーナーによって制限されているため表示できません。

「PayPay」のこれまでの成長と今後の取り組みについて - プレ …

 · 「PayPay」のこれまでの成長と今後の取り組みについて ~ 人々の生活をもっと便利でもっと豊かにする「スーパーアプリ」へ進化、新型コロナウイルス感染症(COVID-19)の拡大防止対策も …

越前松島水族館[公式] 割引クーポンも♪ 見て・ふれて・楽しく ...

見て・ふれて・楽しく学べる越前松島水族館。館内紹介や交通アクセス方法、時期ごとの営業時間や館内でのふれあいなどを紹介します。越前松島国定公園の日本海に面した福井県坂井市の水族館です。

2025年問題で看護師が余る?!理由と今後の働き方を解説 ...

 · 「2025年問題により看護師が余る」という予測を聞き、今後の雇用や働き方に不安を感じる方のために、看護師が余る理由を解説します。また、2025年を見据えた働き方についてもご紹介。今後どのようにキャリアを積むのか考えて ...

おぎやはぎ矢作、加藤浩次の今後を心配「いよいよ干されるの ...

 お笑いコンビ、おぎやはぎの矢作兼(49)が10日放送のフジテレビ系「バイキングMORE」(月~金曜前11・55)に生出演。吉本興業との専属エージェント契約を今…

情報(じょうほう)とは何?Weblio辞書

情報とは、簡単にいえば、「 伝え られる 内容 」のことである。. 主に「 伝達 」という 行為 において やりとり される、 事実 、 知識 、 データ 、 合図 ( 信号 )、 等々 、あるいは、その 事実 や 知識 を 伝達 するという 行為 そのもの 。. あるいは、「しらせ」( 知らせ ・ 報せ )。. 日本語 の「情報」という 言葉 は 明治 頃から 文献 に 登場 している。. 漢語 ...

情報 - Wikipedia

情報(じょうほう、英語: information 、ラテン語: informatio)とは、 あるものごとの内容や事情についての知らせ [1] のこと。

情報とは - コトバンク

ブリタニカ国際大百科事典 小項目事典 - 情報の用語解説 - 国家,団体,または個人が,敵対,対立,競合関係にある国家,団体,個人についての状況を知るために獲得する知識をいう。対象が友好国 (団体,個人) もしくは,自己または第三者に関する相手側の情報ないしは判断もまた情報として処理される...

情報 (教科) - Wikipedia

情報(じょうほう、Information [1], Informatics [2] )は、日本の後期中等教育の課程(高等学校の課程、中等教育学校の後期課程、特別支援学校の高等部)における教科の一つである。

情報屋さん。

情報屋さん。では、芸能情報・ゲーム・雑学・小ネタ・おもしろなどネットに転がる様々な情報をほぼ毎日紹介しています

IPA 独立行政法人 情報処理推進機構

複雑・膨大化する情報社会システムの安全性・信頼性の確保による“頼れるIT社会”の実現に向け、IT施策の一端を担う政策実施機関として、情報セキュリティ、ソフトウェア高信頼化、IT人材育成等の施策を展開します。

日本気象協会 tenki.jp【公式】 / 天気・地震・台風

日本気象協会公式の天気予報専門メディアです。市区町村別のピンポイントな天気予報に加え、専門的な気象情報、地震・津波などの防災情報を提供します。気象予報士が日々更新する日直予報士、花粉や熱中症、スキー積雪などの季節特集も人気です。

地震情報 - 日本気象協会 tenki.jp

 · 花粉飛散情報 (1~5月頃) 桜開花情報 (2~5月頃) GWの天気 (4~5月頃) 梅雨入り・明け (5~7月頃) 熱中症情報 (4~9月頃) 紅葉見ごろ情報 (10~11月頃) ヒートショック (10~3月頃) スキー積雪情報 (11~5月頃) 初日の出 (12~1月頃)

Yahoo!天気・災害 - 天気予報 / 防災情報

天気予報はもちろん、天気に関するあらゆる情報・災害情報を迅速にお伝えする天気・災害総合サイト。全国各地の雨雲の動きをリアルタイムにチェックできる「雨雲レーダー」や、花粉や熱中症、積雪情報など、季節ごとの天気情報も。

乗換案内、時刻表、運行情報 - Yahoo!路線情報

Yahoo!路線情報:全国の路線や高速バス、路線バス、飛行機の乗り換え案内サービスです。始発・終電検索、JR・地下鉄・私鉄の定期代検索、新幹線・電車の運行情報、時刻表、主要空港のフライト情報も提供中。

COMMENTS


31454:
2021-05-23 23:00

RTしてくれた方全員 相互100%です。 動画配信 {マンガ、笑える、面白、あるある)動画など配信しています 気になる情報も!!08

31450:
2021-05-23 14:04

人から得る情報ってほんと新鮮だなと思った。YouTubeひとつでも見てる人違えば情報も変わるんだな

31455:
2021-05-23 11:53

【FANZAライブチャット】のオンライン情報・・・「ゆき☆*: .ちゃん」がオンライン中です。 女の子に対して興味がわいた場合は、プロフィールもご覧ください。

31453:
2021-05-23 09:30

人々がどの情報を信じるかは各人が判断すべきだ。映画「サンキュー・スモーキング」より

31449:
2021-05-23 09:22

なんも知らないから情報の波に押し流されそうw

31452:
2021-05-23 08:16

どれが重要な情報かも判断できない人が選んだ全体の中の数個のスクショに対する表現の自由ですか。 それならどうぞご自身たちの思い込みの中でお生きになってください、巻き込まないでください。 こちらは小児性…

31451:
2021-05-23 04:49

可能な限りリプを送らせてもらう! 情報を得るためだ!

Recommended

TITLE
CATEGORY
DATE
グーグルの親会社Alphabet、1万2000人の人員を削減へ
IT関連
2023-01-24 21:27
Chromeブラウザの更新サイクルが6週間から4週間に短縮へ
アプリ・Web
2021-03-06 09:58
第4回:顧客体験管理を実現する体制・プラットフォームの作り方
IT関連
2021-03-10 04:57
ソフトバンク、通期予想を上方修正 法人事業など好調「コロナ禍のマイナス要因上回った」
企業・業界動向
2021-02-05 03:09
清教学園、全ての保護者にGoogleアカウントを発行–「連絡事項が全部伝わる」
IT関連
2021-07-15 16:22
アドビ、生成AI「Firefly」でクリエーティブツールを強化–「Illustrator」などに搭載
IT関連
2023-06-15 18:18
AWS、「Amazon Q Developer」で、社内コードや社内APIにも対応するカスタマイズが可能に
AWS
2024-07-17 00:28
冷食専門店ピカール、「WOVN.io」でECサイトを多言語化
IT関連
2022-12-01 08:52
キャリアSNS「YOUTRUST」が登録ユーザー数累計5万人突破と発表、iOSアプリ正式リリースで急増
HRテック
2021-04-15 12:02
「Windows 11」新プレビュー版、タスクバーに新たな「オーバーフロー」領域
IT関連
2022-07-23 07:25
「Windows 11」新プレビューが公開–初の公式ISOイメージを提供
IT関連
2021-08-20 09:52
「中核ビジネスと新規領域の両輪でV字成長を達成したい」–F5大野社長
IT関連
2024-02-03 04:40
Appleの「探す」アプリ、紛失防止タグ、電動自転車含むサードパーティー製品に対応 次期リリースではUWB使い方向も分かるように
IT関連
2021-04-09 08:51
OpenAI、「GPT-4 Turbo with Vision」を「OpenAI API」で一般提供
IT関連
2024-04-12 16:43