講演資料 - 日本銀行金融研究所

第14回情報セキュリティ・シンポジウム（2012/12/20）講演3
スマホ向けアプリのセキュリティ
～バンキングサービスの安全性について～
KDDI研究所
竹森敬祐（Ph.D)
・スマホ特有の脅威を知る
・アプリ vs Webサービスの安全性
・リスクを見積もり、適切な対策を
1: はじめに
2: 既存のスマホ向けバンキングサービス
3: 金融系サービス／端末への攻撃の一例
4: 対策技術の一例
1
Ⓒ2012 KDDI R&D Laboratories Inc.
スマホ・タブレットとは
■ OS・機能
◆ アクセス制限（サンドボックス）の付いたPC上で、電話アプリが動く。
■ 実装
◆ 端末メーカや通信キャリアが管理するシステム領域と、
アプリ開発者や利用者に解放されたユーザ領域に、分離している。
◆ Jailbreak（管理者権限奪取＋不正改造）されていなければ、OS・
システムを信頼できる。
◆ GPS、カメラ等の特殊デバイスを持つプライバシセンシティブ端末。
■ スマートフォンのセキュリティ
アプリ（Market）のセキュリティ
◆ OSベンダ運営のMarketからしかイストールできないOSモデル、
様々なMarketやメール添付のインストール経路を持つOSモデル
の2つの形態がある。
2
Ⓒ2012 KDDI R&D Laboratories Inc.
ところで、アプリ型とWeb型のサービス
■ アプリ型サービス
◆ OS提供のAPIを駆使して、利便性の高いサービスを実現できる。
メリット ⇒ 高度な機能（含：セキュリティ）を実装し易い。
デメリット ⇒ OSや機種依存があり、メンテナンスコストを要する。
⇒ アプリ実装において、脆弱性を作り込み易い。
■ Web型サービス
◆ ブラウザ提供のAPIの範囲で、Webアプリ・サービスを提供する。
メリット ⇒ 安全に配慮された開発環境、機能を利用できる。
⇒ OSや機種依存が少ない。
デメリット ⇒ 高度な機能（含：セキュリティ）を実装し難い。
3
Ⓒ2012 KDDI R&D Laboratories Inc.
既存スマホの脅威の一例
4
Ⓒ2012 KDDI R&D Laboratories Inc.
リスクを含むソフトウェア（リスクウェア）とは
■ 悪意のアプリ（マルウェア）
◆ Jailbreak（管理者権限奪取＋不正改造）
◆ 振り込め・ワンクリック詐欺
◆ 情報漏洩（スパイウェア）
◆ 遠隔制御（ボット、バックドア）
安心アプリ
■ 不適切・迷惑なアプリ
◆ 勝手な情報送信によるプライバシ不安
◆ 本来利用できない機能や権限の利用
◆ 頻繁な通信・電池消費などの迷惑設計
■ 脆弱性（Vulnerability）を含むアプリ
◆ 秘匿情報を読み取られる脆弱性
◆ 踏み台にされる脆弱性
◆ 脆弱な認証を突くなりすまし
etc
5
悪意のアプリ
（マルウェア）
脆弱性を
含むアプリ
Ⓒ2012 KDDI R&D Laboratories Inc.
不適切・
迷惑なアプリ
スマホの3大脅威のポイント
■ 端末の紛失
◆ 小さいこと、常に持ち歩くことで、紛失する機会が多い。
◆ 取得者に内部の情報を奪われる。SDカードを抜き取られる。
■ フィッシング／振り込め詐欺／攻撃サイトの閲覧
◆ ブラウザのURL表示欄が小さく、アクセス先を確認し難い。
◆ アプリ・Webサービスに対して、偽の画面／サイトを被され易い。
◆ 端末の情報を悪用して、金銭を脅し取られる。
◆ 悪意のスクリプトが実行される。脆弱性を突かれて乗っ取られる。
■ リスクウェアへの感染
◆ セキュリティ管理の甘いMarket、メール添付・誘導URLから感染する。
◆ 利用者が興味本位でJailbreak（管理者権限奪取＋不正改造）アプリを
導入し、知らないうちに遠隔制御される。
◆ 本物のアプリ・Webサイトを用いて、偽のアプリ・Webサイトを作り易い。
◆ アプリ・Webブラウザの挙動が不透明で、感染に気づき難い。
6
Ⓒ2012 KDDI R&D Laboratories Inc.
マルウェア感染・アプリの状況
■ スマホはマルウェア感染の機会が少ない
◆ 原則インストールには利用者操作を伴うため、自動感染し難い。
◆ アプリの入手元は、セキュリティ運用のあるMarket経由が殆ど。
⇒ 大規模な感染を狙い難い。
■ スマホはプライバシ不安なアプリが多い
◆ プライバシセンシティブ端末と言われる中で、嗜好に合わせたサ
ービス提供が多く、勝手に利用者情報を収集するアプリが目立つ。
⇒ 総務省による制度面、KDDI研による技術面で前進中。
7
Ⓒ2012 KDDI R&D Laboratories Inc.
第14回情報セキュリティ・シンポジウム（2012/12/20）講演3
スマホ・アプリのセキュリティ
～スマホ向けバンキングサービスの安全性について～
KDDI研究所
竹森敬祐（Ph.D)
・スマホ特有の脅威を知る
・Webサービス vs アプリの安全性
・リスクを見積もり、適切な対策を
1: はじめに
2: 既存のスマホ向けバンキングサービス
3: 金融系サービス／端末への攻撃の一例
4: 対策技術の一例
8
Ⓒ2012 KDDI R&D Laboratories Inc.
既存のスマホ向けバンキングサービス
■ アプリ型＆Web型のハイブリッド設計
◆ アプリ内にWebView等が組み込まれており、重要処理は既存の
PC向けWebサービスに移行する。⇒ 乱数表などの入力操作。
★ 安全性の根本は、既存のPC向けWebサービスと同様。
9
Ⓒ2012 KDDI R&D Laboratories Inc.
第14回情報セキュリティ・シンポジウム（2012/12/20）講演3
スマホ・アプリのセキュリティ
～スマホ向けバンキングサービスの安全性について～
KDDI研究所
竹森敬祐（Ph.D)
・スマホ特有の脅威を知る
・Webサービス vs アプリの安全性
・リスクを見積もり、適切な対策を
1: はじめに
2: 既存のスマホ向けバンキングサービス
3: 金融系サービス／端末への攻撃の一例
4: 対策技術の一例
10
Ⓒ2012 KDDI R&D Laboratories Inc.
スマホを巡るバンキングサービスへの攻撃例
①フィッシング、②偽バンキングアプリ、③Man in the Browserマル
ウェア、④アプリ脆弱性への攻撃、⑤Jailbreak＋遠隔制御、⑥振り込
め詐欺、・・・
URL http://
④アプリ脆弱
性への攻撃
11
Ⓒ2012 KDDI R&D Laboratories Inc.
①フィッシング（マルウェア） ITmedia
■ スマホ向けフィッシング・マルウェア（2010年1月）
http://www.itmedia.co.jp/enterprise/articles/1001/12/news018.html
◆ Android端末向け統合バンキングアプリ
として、偽のバンキングページを開き、
ユーザ名、パスワード等を入力させ、
盗み出す。
12
Ⓒ2012 KDDI R&D Laboratories Inc.
②偽のバンキングアプリ
■ 不正コピーの氾濫
◆ Javaベースで開発されたアプリは、逆コンパイルで、容易にコード
を取り出すことができる。
⇒ 本物そっくりの偽アプリ（含：広告収入狙いアプリ）を作り易い。
⇒ 有料アプリの偽物版（無料）を集めた悪意のMarketもある。
◆ OSによっては、署名を使った開
発者認証は行われていない。
⇒ Marketで検索したアプリが
本物であることを確認不能。
■ 偽アプリの例（「銀行」で検索）
◆ 広告収入を目的とした本物の銀行と同
様なロゴを使った口座開設支援アプリ。
◆ 当該ロゴの銀行とは関係のない第三者
が作成・投稿している。
13
Ⓒ2012 KDDI R&D Laboratories Inc.
②偽のバンキングアプリ～前項の偽アプリ～
口座開設ボタンをクリック
関係ない銀行サイトへ遷移
【脅威】
中身はWebコンテンツ、
いつでも差し替え可能。
⇒ フィッシングサイトに
差し替えもできる。
14
Ⓒ2012 KDDI R&D Laboratories Inc.
③Man in the Browserマルウェア：偽のポップアップ
■ 偽のポップアップ画面を通じた不正送金（2012年11月）
日経トレンディーネット http://trendy.nikkeibp.co.jp/article/pickup/20121116/1045603/
◆ 悪意のアプリに感染し
たPCにおいて、銀行サ
イトを閲覧したタイミン
グで、偽の入力画面を
表示する。
◆ 暗証番号や乱数表、本
人確認の質問と答えな
どを入力させ盗み出す。
感染したスマホでも通信状態をモニタでき、同様な手口が可能。
15
Ⓒ2012 KDDI R&D Laboratories Inc.
④アプリの脆弱性：初歩的なミス
■ 脆弱性の排除
◆ アプリの脆弱性に関する届出が急増しており、端末・OSのセキュ
リティの次に、アプリのセキュリティが課題になる。
⇒ サービスの防御、利用者情報の保護、信頼獲得etcが重要。
◆ メジャーなアプリにおいても初歩的な脆弱性が目立ち、アプリ開発
者のセキュアコーディングスキルの向上が課題。
OSVD B# 7 4 6 4 8
JVN # 9 2 0 3 8 9 3 9
某SN Sアプリにおける情報管理不備の脆弱性
JVN # 6 7 4 3 5 9 8 1
某リアルタイムコミニュケーションアプリにおける
暗黙的 I n te n t の扱いに関する脆弱性
送信したメッセージ情報が他ア
プリから読み取られる
他のアプリが「友人の発言」の
内容を取得することが可能
某オンラインストレージアプリにおける
Co n te n tPr o v id e r アクセス範囲の脆弱性
他のアプリが、アプリのアクセスで
きる任意のファイルをユーザーのス
トレージにアップロードできる
つぶやきの閲覧/投稿/削除、友
人の更新情報の閲覧などの機
能が利用可能
インターネット電話やテキスト
チャットなどでコミュニケーショ
ンを行う。絵文字の豊富さなど
で人気を集めている。
オンラインストレージアプリ（サービス）
様々なデータやファイルをWeb上に保存で
きるオンラインストレージサービス。PCやス
マートフォン等複数のデバイスからアクセ
スすることができる。 (はてなキーワード)
2 0 1 2 /1 2 /1 3
https://play.google.com/store/apps/details?id=jp.r246.twicca
http://osvdb.org/show/osvdb/74648
日本スマートフォンセキュリティ協会（ JSSEC）
https://play.google.com/store/apps/details?id=jp.mixi
http://jvn.jp/jp/JVN92038939/
2 0 1 2 /1 2 /1 4
2 0 1 2 /1 2 /1 4
16
h ttps: //p la y. g o o g le. co m /sto re /a p p s /d eta ils?id = j p . n a ver. lin e. a n d ro id& h l= j a
h ttp: //j v n . j p /j p /JVN 6 7 4 3 5 9 8 1 /
Co p yrig h t 2 0 1 2 Son y D ig ita l N etw o rk Ap p lica tion s, I n c.
13
Cop yrig h t 2 0 1 2 So n y Dig ita l Netw o rk App lica tio n s, I n c.
18
資料：ソニーデジタルネットワークアプリケーションズ（株）
Ⓒ2012 KDDI R&D Laboratories Inc.
38
④スマホバンキングアプリの脆弱性による被害予測
■ 脆弱性を突く攻撃
◆ アプリの脆弱性を、悪意のアプリから攻撃される。
◆ アプリのWebViewの脆弱性を、悪意のJavaScriptから攻撃される。
■ 情報漏洩
◆ 第1段階：ログインID、パスワード、乱数表等の認証情報
◆ 第2段階：セッション、トークン等の認証＆認可情報
◆ 第3段階：口座残高、取引明細等のアプリが扱う情報
■ 機能の不正利用
◆ 振込機能がマルウェアから勝手に操作され、不正送金に。
◆ 店舗案内の地図機能に誤情報を与え、利用者を偽ATMへ誘導。
資料：ソニーデジタルネットワークアプリケーションズ（株）
17
Ⓒ2012 KDDI R&D Laboratories Inc.
⑤Jailbreakによる不正改造
■ Jailbreak（管理者権限奪取＋不正改造）の流れ
Step1: 管理者権限奪取アプリをユーザ領域にインストールし、実行する。
Step2: OS等の脆弱性を突いてメモリ上で管理者権限を奪う。
Step3: 恒久的に管理者権限を利用できるようシステム領域にsuを置く。
18
Ⓒ2012 KDDI R&D Laboratories Inc.
⑤Jailbreakによる遠隔制御
■ Jailbreak型の遠隔制御ウイルス感染
◆ 日本製のスマホ端末の多くは、システム領域保護の仕組みが実装されている。
⇒ 完全な乗っ取り（キーロガー、画面イメージ転送、etc）は難しい。
⇒ 海外製のスマホ端末の場合、PCと同じレベルの遠隔制御が容易に可能。
◆ 端末メーカ毎に、独自チューニング実装が施されることが多く、Jailbreakアプリ
の開発には、様々なチューニングを要する手間がある。
⇒ 攻撃者が狙うモチベーションは低く、一般権限型マルウェアにシフトしている。
■ 付録：一般権限型の遠隔制御マルウェア
◆ OSが提供する標準APIを使って、遠隔制御マルウェアを作成できる。
◆ セキュリティ運用のないMarketなどを通じて配布・感染する。
⇒ 通信モニタ＋偽のポップアップによる、暗証番号や乱数表の盗難は可能。
19
Ⓒ2012 KDDI R&D Laboratories Inc.
⑥振り込め詐欺：マルウェア
■ 非公式アプリ配信サイト
◆ 日本の成人向けWebサイトに詐欺アプリが置かれた。
⇒ スマホの電話番号、メールアドレスなどを表示して振り込みを強要
電話番号
ﾒｰﾙｱﾄﾞﾚｽ
＋位置
＋IMEI
20
Ⓒ2012 KDDI R&D Laboratories Inc.
⑥振り込め詐欺：悪意のWebサイト
スマホ向けの詐欺画面
IPアドレス
架空の固体識別番号
■ 脅威は低い
◆ ブラウザエージェントからスマホであることを見抜き、画面全体に恐喝文を表示。
注）ブラウザで閲覧しただけでは、利用者情報が抜き取られることはない。
⇒ アクセス元IPアドレスを表示
⇒ 架空の固体識別番号を表示
21
Ⓒ2012 KDDI R&D Laboratories Inc.
まとめ：アプリ型サービスの脅威
■ PCとの違い
◆ スマホOSはPCと同じ汎用OSであるため、脅威の根本は同じ。
◆ Jailbreakされない限りシステム領域を信頼できること、マルウェア
への大規模感染を狙い難いため、被害の頻度は低い。（脅威↓）
しかし
■ 偽画面の上乗せ（脅威↑）
◆ 画面全体に対して、偽の画面を被せ易い。
■ アプリの挙動不明（脅威↑）
◆ セキュリティ対策ソフトがアプリの挙動を監視できない。
■ 偽バンキングアプリの作成（脅威↑）
◆ コード解析が容易で、開発手順が限られるため、偽物を作り易い。
■ 振り込め詐欺／オレオレ詐欺（脅威↑）
◆ 利用者情報（例：TEL、電話帳）を使った脅しや騙しが行われる。
22
Ⓒ2012 KDDI R&D Laboratories Inc.
まとめ： Web型サービスの脅威
■ PCとの違い
◆ WebサービスはPC向けブラウザと同じであり、脅威の根本は同じ。
◆ 自動感染なし。Jailbreakされない限り完全な操作を乗っ取り難い。
（脅威↓）
しかし
■ URL表示欄が小さい（脅威↑）
◆ スマホの画面サイズが小さく、URLの全体を参照し難い。
■ 偽画面の上乗せ（脅威↑）
◆ 画面全体に対して、偽の画面を被せ易い。
■ Webブラウザの挙動不明（脅威↑）
◆ セキュリティ対策ソフトがWebブラウザの通信内容を監視できない。
■ 証明書の差し替え（脅威↑）
◆ 偽メールによる誘導でサイト認証用の偽証明書を追加可能。
23
Ⓒ2012 KDDI R&D Laboratories Inc.
第14回情報セキュリティ・シンポジウム（2012/12/20）講演3
スマホ・アプリのセキュリティ
～スマホ向けバンキングサービスの安全性について～
KDDI研究所
竹森敬祐（Ph.D)
・スマホ特有の脅威を知る
・Webサービス vs アプリの安全性
・リスクを見積もり、適切な対策を
1: はじめに
2: 既存のスマホ向けバンキングサービス
3: 金融系サービス／端末への攻撃の一例
4: 対策技術の一例
24
Ⓒ2012 KDDI R&D Laboratories Inc.
対策の方針（共通）
■ 基本方針
◆ 完璧な対策技術は無いため、複数の技術を組み合わせる。
■ 認証の多重化
◆ 端末認証の追加
*は、アプリ型サービスへのみ適用可能
⇒ SIM認証*
◆ 利用者認証の多様化
⇒ 暗証番号、所有物（乱数表、ワンタイムトークン）、生体認証*
■ 処理の見える化
◆ Eメール・取引履歴参照ページなどに金額や振込み先情報などを
閲覧できる機能を提供する。
◆ 重要な処理のPUSH通知による利用者関与の機会を提供する。
⇒ SMS、OS提供のPUSH通知
25
Ⓒ2012 KDDI R&D Laboratories Inc.
対策の方針（アプリ型／Web型）
■ アプリ型サービスの特有の対策
◆ OSベンダ・通信事業者が運営する公式Marketから配信
◆ 処理の難読化（静的解析対策）
◆ 端末状態の自己診断（動的解析対策）
⇒ Jailbreak対策：suコマンド検査、mount状態検査、etc
⇒ 感染対策：インストールアプリのスキャン、etc
◆ コードのセキュアコーディング（脆弱性排除）
■ Web型サービスの対策
◆ PC向けWebサービスと同じ。
26
Ⓒ2012 KDDI R&D Laboratories Inc.
対策例： SIM認証（端末＆利用者の認証）
■ NFCを活用した安全な決済サービス
◆ モバイルNFCにおいて、決済に必要な認証情報など、高度なセキュリ
ティ情報をSIMカード内に格納する。
SIM領域提供サービス <KDDI（株）>
決済情報
管理アプリ
・乱数表の紛失：気づき難い（悪用の可能性）
・スマホ（SIM）の紛失：気づく（リモートロック）
移動機
ベースバンド
SIMカードをセキュアエレメントとして活用し、
鍵・証明書などの認証情報を安全に管理
銀行側
決済処理サーバ
SIMカード
NFC
チップ
NFC対応
携帯電話
27
NFCリーダライタ
Ⓒ2012 KDDI R&D Laboratories Inc.
対策例：生体認証
■ 利用者認証
◆ 記憶（暗層番号）・所有物（乱数表、ワンタイムトークン）等によって、
利用者を認証する。
⇒ キーロガー・偽のポップアップ・紛失で、なりすまされてしまう。
■ KDDI研究所の掌による生体認証：「てアロ」アプリ
◆ 掌のしわの特徴をスマホ端末のカメラで撮影する生体認証。
成功
復帰
スリープ状態
28
掌紋認証
Ⓒ2012 KDDI R&D Laboratories Inc.
使用可
対策例： PUSH通知
■ 利用者による確認＆通報の機会
◆ 重要処理については、PUSH型通知でリアルタイムに利用者に知
らせて、承認を請う、もしくは一定時間後に実際の処理を行う。
⇒ 見知らぬ・誤った振込みに気づいた際には、処理を停止させる、
通報パスを設けるなど、利用者関与の機会を提供する。
■ SMSメール
◆ 通信事業者によるSMSは、回線交換型メールのためリアルタイム
に利用者へ届く。
【残存脅威】マルウェア感染状態では、SMS通知を横取りされる。
■ OS提供のPUSHサービス http://www.spicysoft.com/spicylab/blog/index.php?itemid=1096
◆ Android OSはC2DM、iOSはAPNSと呼ばれるPUSHサービスが
ある。品質レベルについては、OSベンダ側の情報を参照のこと。
【残存脅威】マルウェア感染状態では、PUSH通知を横取りされる。
29
Ⓒ2012 KDDI R&D Laboratories Inc.
対策例：公式Marketの利用
■ 偽アプリへの対策
◆ 銀行のWebサイトから公式Market上のアプリを指定し、配布する。
⇒ 利用者に検索させない。
⇒ メール添付・メールURL誘導しない。
（Androidの場合「提供元不明のアプリ」のチェックを外して頂く。）
◆ アプリの開発者が銀行であることを明示する。
■ au Marketの工夫
◆ 開発者の身元確認をしている。
◆ 「提供元不明のアプリ」チェックを外
してもアプリをインストールできる。
30
Ⓒ2012 KDDI R&D Laboratories Inc.
対策例：アプリ認証
■ アプリ認証
◆ 本物のバンキングアプリを見分けるためのアプリ認証が有効。
⇒ Android向けアプリには開発者の署名が付いている。
⇒ Android／iOS向けアプリのハッシュ値（特徴）を参考にできる。
署名
特徴
・・・
署名
特徴（ﾊｯｼｭ）
31
アプリ認証局
アプリ認証アプリ
署名
特徴（ﾊｯｼｭ）
Ⓒ2012 KDDI R&D Laboratories Inc.
署名
特徴（ﾊｯｼｭ）
対策例：端末状態の自己診断
■ アプリ起動前の端末状態チェック
◆ 端末状態の安全性を確認した後に、アプリを起動する制御の一例。
32
Ⓒ2012 KDDI R&D Laboratories Inc.
対策例：アプリ・サービスのセキュア開発
■ アプリが出来上がってからの検査では遅すぎる
◆ 根本的なセキュリティ設計に間違いがあると、根本解決は事実上
不可能であり、リスクを抱えたままサービスを開始することになる。
■ アプリ開発者とセキュリティ技術者の協力
◆ アプリ開発者は、ソフトウェアに入り込む脆弱性を減らす。
◆ セキュリティ技術者は、入り込んだ脆弱性を発見・修正する。
開発者の
ｱｸﾃｨﾋﾞﾃｨ
時間
ｾｷｭﾘﾃｨ
技術者の
ｱｸﾃｨﾋﾞﾃｨ
ソフトウェアに入り込む脆弱性を減らすアクティビティ
セキュリティポリ
シー
セキュアコーディン
グ教育
必須
セキュアコーディング
チェックツール適用
設計
実装
検証
ソフトウェア
仕様・設計分析
ソースコード静的
解析
疑似攻撃検査
（PenTest）
強く推奨
出
荷
運用・保守
脆弱性
ハンドリング
ソフトウェアに入り込んだ脆弱性を発見・修正するアクティビティ
資料：ソニーデジタルネットワークアプリケーションズ（株）
33
Ⓒ2012 KDDI R&D Laboratories Inc.
対策例：アプリ・サービスのセキュア開発
■ 最初から安全なコードを書く
◆ JSSEC（日本スマートフォンセキュリティ協会）からAndroid向けセ
キュアコーディングガイド（左下図）がリリース。
⇒ そのまま使えるセキュアなサンプルコード付き。
http://www.jssec.org/dl/android_securecoding.pdf
http://www.jssec.org/dl/android_securecoding.zip
資料：ソニーデジタルネットワークアプリケーションズ（株）
34
Ⓒ2012 KDDI R&D Laboratories Inc.
対策例：アプリ・サービスのセキュア開発
■ セキュリティ技術者による事前の分析・開発中の確認
◆ 早期に問題を把握し、最良の仕様策定、設計を行うこと。
⇒ 手戻り作業の最小化、セキュリティ対策の強化
⇒ 開発者による行き過ぎたセキュリティ対策の検査もできる。
時間
設計
実装
ソフトウェア
仕様・設計分析
ソースコード静的
解析
開発チーム
セキュリティ
技術者
検証
出
荷
運用・保守
ソフトウェアに入り込んだ脆弱性を
発見・修正するアクティビティ
開発チーム
セキュリティ
技術者
設計文書
ソースコード
１
2
１
報告書
2
スキャン結果
対応記録
3
対策されるまで追跡を行い
セキュリティ品質を向上
35
ソースコード
静的解析ツール
対応記録
4
3
上記プロセスを繰り返し実施しな
がら、継続的・計画的にコード脆
弱性リスクを削減していく
Ⓒ2012 KDDI R&D Laboratories Inc.
資料：ソニーデジタルネットワーク
アプリケーションズ（株）
対策例：Jailbreak耐性多くの日本製端末
■ 端末の堅牢化（Security Spiced Smart OS: 3S-OS）
◆ 端末メーカ、通信キャリアの領域である/systemを保護する（例
/system/binにsuを置かせない）ことで攻撃の影響を最小化する。
root化
アプリ
一般
アプリ
アプリ制御
・ライブラリ
デバイス
（WiFi, GPS, カメラ等）
提案：カーネル層から堅牢にする
root権限奪取された場合
36
Ⓒ2012 KDDI R&D Laboratories Inc.
対策例：Jailbreak検知研究⇒一部実用化
■ Android(ARM）＋TPMによるセキュアブート
◆ ARMボードは、Root of Trustを作成しやすく、セキュアブートに向く。
◆ 測定結果を、遠隔の状態管理局に送付し、完全性をリモート検証する。
◆ ブートローダ⇒Linuxカーネル⇒Androidシステムをセキュアブート。
外部の状態管理サーバ
認証
（公開鍵）
期待値
（Android, ｱﾌﾟﾘ）
外部の状態管理サーバ
Step4
測定値
アプリ
(Android, ｱﾌﾟﾘ）
署名
/data/app, /data/appprivate, /sd_card
測定
起動時の測定ログ
Step3' 起動
Androidシステム
/system, etc
測定 Step3 起動
署名
最小構成のLinux
認証（秘密鍵）
署名(秘密鍵）
Boot Loader 2
の期待値
署名
検証
端末（メモリ＋CPU処理）
37
Init(+測定機能)
測定 Step2 起動
Boot Loader 2
Android(ARM), TPM
測定 Step1 起動
Boot Loader 1
Root of Trust
Ⓒ2012 KDDI R&D Laboratories Inc.
デモ構成
対策例：その他
■ 技術で防げないリスクに対して運用で対応
◆ 利用者への周知・教育が必要。
◆ 取引限度額を下げる（利用者から設定させる）。
◆ 事前登録した口座にしか振り込ませない（口座はサーバ側管理）。
◆ 利用者にイレギュラーな操作を要求する「騙し」に対して、業界横
断的な操作方法の統一で、イレギュラーに気づかせる。
38
Ⓒ2012 KDDI R&D Laboratories Inc.
まとめ：アプリ型・Web型・ハイブリッド型の比較
アプリ型
Web型
ハイブリッド（アプリ型＋Web型）
従来携帯と同じく、簡単ログ
△ PCと同じ
○
インなどを実現し易い。
端末、OS、バージョン毎にチ
開発コスト ×
△ PCと同じ
▲
ューニングを要する。
Webアプリに比べて脆弱性を
脆弱性
×
△ PCと同じ
▲
作り込み易い。
SIMや端末バインドな識別子
PCと同じ
端末認証 ○
△
○
を利用できる。
（無し、Cookieによる識別等）
利用者認
Web型に加えて、生体認証等
PCと同じく、暗証番号、乱数
○
△
○
証
を追加できる。
表、ワンタイム等を用いる。
利用者通
PULL型、PUSH型の様々な
PULL型、PUSH型の様々な
○
○
○
知
通知手段を持つ。
通知手段を持つ。
感染頻
感染頻度は小さく、サンドボッ
感染頻度は小さく、Jailbreak
○
○
○
度・耐性
クスでアプリが保護される。
されない限りモニタされない。
フィッシン
偽アプリを作り易い。偽画面
URL欄が小さい。偽のサイト証明書を
×
× 組み込まれ易い。偽画面を被せ易い。 ×
グ耐性
を被せ易い。
○：PC向けに勝る △：PC向けと同程度 ▲：PC向けに若干劣る ×：PC向けより劣る
○
セキュリティ
利便性
アプリ型で簡単ログイン
アプリ処理を最小限にする。
最小アプリとWebに対する両セキュ
アコーディングの知識を要する。
SIMや端末バインドな識別子
を利用できる。
Web型に加えて、生体認証等
を追加できる。
PULL型、PUSH型の様々な
通知手段を持つ。
感染頻度は小さく、サンドボックスと
Jailbreak対策で耐性を持つ。
偽アプリ、偽画面、偽URL、偽サイトア
クセスによる攻撃が行われやすい。。
注）簡単ログインは残高照会に留め、振り込みには別途認証を加えるなど、リスクレベルに応じて、認証手法を変えるべき。
39
Ⓒ2012 KDDI R&D Laboratories Inc.
全体のまとめ
■ 横断的な協議と仕様の統一化
◆ OS・端末・アプリ・サービスの全てを見据えた脅威を洗い出す。
◆ サービス・リスクに応じた適用対策の統一化。
◆ 利用者視点での操作手順の統一化。
◆ 本物のアプリを見分けるアプリ認証サービスの実現が好ましい。
■ 新技術
◆ 端末認証の追加
⇒ SIM（NFC）による認証、決済サービス
◆ 利用者認証の追加
⇒ カメラなどの端末デバイスを活用したバイオメトリクス
◆ セキュアコーディング
⇒ アプリを踏み台にする脆弱性攻撃を低減
40
Ⓒ2012 KDDI R&D Laboratories Inc.

Download Report