モバイルアプリケーションのリスク

owasp_logo

OWASP情報とArxanテクノロジーの有効性

OWASPの指摘するTop10モバイルリスクに対応するには

新10位: バイナリ保護の欠如

モバイルアプリのバイナリ保護を行わないことは、広範な技術的・ビジネス的なリスクをまねくことにつながります。 バイナリ保護の欠如は、モバイルアプリが解析され、リバースエンジニアリングされ、ハッカーから改ざんされることにつながります。 アプリは、単にセキュリティを考慮したコーディングがなされて、昔ながらのセキュリティ対策をほどこしているだけでは守れなくなっています。たとえ、 “完璧な” 実装を行ってもクラッキングされ改ざんされてしまう可能性があるのです。

あなたのアプリは危険な状態でしょうか?
下記の質問のいずれかひとつにでも該当すれば、あなたのアプリはバイナリアタックに対して脆弱な状態にあります。:

ClutchModのような自動化ツール、あるいはGDBを使ってマニュアルにあなたのアプリのコードを解読することができますか?
HopperやIDA Proのようなツールを使って、あなたのアプリの制御フローや仮想コードを容易に可視化することができますか?
アプリのプレゼンテーション層(HTML/JS/CSS)を、スマホの中にアプリがある状態で改変し、そのJavaScriptを実行できますか?
実行可能なバイナリを、バイナリエディタを使ってセキュリティコントロールを回避しながら改変することができますか?
Arxanのアプリケーションセキュリティ対策ソリューションを、ビルドを完了した後のアプリに適用すれば、自己検知・自己防御・不正開封防止機能をもったアプリに生まれ変わります。

Arxan – 米国国防省発のアプリケーション保護ソリューション !

Arxanは世界最高水準のアプリケーション保護ソリューションです。ArxanのGuard技術によりアプリケーションのバイナリコードと暗号鍵を改ざん、海賊防止、リバースエンジニアリング、暗号鍵盗難、認証の回避などの攻撃に対して堅牢化することができます。
まずは、Arxanの製品紹介をご覧ください。

2014年 OWASP モバイルリスク Top10 :に含まれるのは

  • M1: サーバ側のセキュリティ対応不足
  • M2: データ格納のセキュリティ対策不足
  • M3: 不十分なトランスポート層の保護
  • M4: 意図せざるデータ漏洩
  • M5: 認証の不備
  • M6: 安全ではない暗号化データ保管
  • M7: インジェクション
  • M8: 安全ではない入力も考慮したセキュリティ設定
  • M9: セッション管理の不備
  • 新: M10: バイナリ保護の欠如