スマートフォンアプリへのハッキングの種類と対策とは？セキュリティ「DxShield」によるの包括的なセキュリティ対策とは

多くのアプリデベロッパーにとって、アプリの収益性はとても大切な要素だと思います。収益性向上のために様々な工夫を凝らしているアプリデベロッパーは多いのではないでしょうか。

しかしアプリを開発しストアに公開した後、アプリのセキュリティについてはどうでしょうか。あまり深く考えていない、というアプリ運営担当の方もいらっしゃるのではないかと思います。
セキュリティ面はどうしても「コスト」と「負荷」の面から後回しにされがちですが、想定されたアプリの収益を得るためには、アプリに対するセキュリティ対策はとても大切です。

では実際にアプリに対するセキュリティとはどのようなことを考えればよいのでしょうか。Androidアプリの総合的なセキュリティサービスを提供する「DxShield」を運営する「オルトプラス」さんに、スマートフォンアプリのセキュリティについて聞いてきました。

アプリへのハッキングの種類

オルトプラスによると、アプリストア上の75％以上のアプリに対して何らかのハッキングが仕掛けられているそうです。
ではアプリへのハッキングにはどのようなものがあるのか見てみましょう。

アプリハッキング例1　決済迂回ツール

アプリ内のいわゆる「課金」の操作に対して不正を行うツールを用いるハッキングです。

決済迂回ツールの利用により、本来アプリデベロッパーの収益になる有料の機能などが不正に使われてしまう可能性があります。

様々なアプリに使える汎用型の決済迂回ツールの他、特定のアプリをターゲットにした決済迂回ツールも存在します。

アプリハッキング例2　Fake GPSツール

実際には移動していない場所に移動したようにふるまうツールを用いたハッキングです。Root化された端末では、疑似ロケーションを許可していない状態でも位置情報の偽装を行うことができます。

これにより、例えば移動距離に応じてポイントを付与するアプリの場合、不正にポイントを取得されてしまう被害などが考えられます。
位置情報と連動したゲームなどでは、少数のユーザーがこのハッキングを行うことで、ゲームバランスが大きく崩れるなども考えられます。

アプリハッキング例3　ミラーリングアプリによるマクロ

ミラーリングアプリとは、スマートフォンの画面の複製をPC上に表示させ、PCのキーボードやマウスによりアプリを操作できるようにするものです。
これそのものはハッキングではありませんが、これにPCのキーボードやマウスを自動的に繰り返し操作するマクロプログラムを併用することで、同じ行為を機械的に延々と繰り返すマクロ行為が可能になります。

ゲームアプリなどで特定の行動を繰り返すことで、キャラクターのレベルを不正に大幅に上げる、などが可能になります。

アプリハッキング例4　仮想マシンによるアプリ実行

仮想マシンとは、PC上に疑似的にiOSやAndroidのスマートフォンを生成するもの。ユーザーはPC画面上の仮想のスマートフォンを操作してアプリをダウンロードし操作することができます。

これ自体はハッキングとは言えないケースもありますが、前述のミラーリングと同じようにマクロによる不正操作が可能です。

また、仮想マシンはPC上にスマートフォンを疑似的に何台も生成できますので、例えばアプリへの招待ボーナスを重複して何度も受け取る、などの不正行為が可能になります。

アプリハッキング例5　改造APK

不正な改造を施したAPKが出回ることもあります。
ユーザーは改造APKをウェブサイト等からダウンロードしインストールします。
ゲームであれば異常に強いキャラクターが使用できたり、ツールであれば有料機能がすべて解放されている、などがあり得ます。

このハッキングはアプリを使用するユーザーに特別な知識が必要なく、改造APKによるハッキングは大量の「カジュアルハッカー」を生む可能性もあり、アプリデベロッパーにとって大きな問題といえます。

アプリセキュリティの3つの要素

先の例に上げたように、スマートフォンアプリは様々なハッキングにさらされる可能性があります。収益性を守り、また正しくアプリを利用しているユーザーの利益を守るためにも、アプリのセキュリティ対策は大変重要です。

ではアプリのセキュリティ対策とは具体的に何をすればよいのでしょうか。
ここではアプリのセキュリティの指針を3つに分けてご紹介します。

暗号化等によるアプリの保護

難読化・暗号化処理などで、アプリを保護、攻撃を予防します。

暗号化
パッケージの暗号化と、ソースコードの部分暗号化などによるアプリの保護。

偽造・改ざんの防止
クライアント側でのAPKの整合性検証による、偽造・改ざんの防止。

解析防止
メモリダンプ検知やSOファイルの逆コンパイル防止機能による、アプリ解析行為のブロック。

脅威の検出

アプリの不正利用を検知し、ハッキングに対応します。

メモリ改ざん、APIフック、デバッガ接続、GPS偽造、課金迂回パッチなど、幅広い不正を検知する必要があります。
不正を検知した場合はアプリを強制終了させるなどの対応と共に、攻撃手法のデータ蓄積等、今後の対応への備えも必要です。

情報の蓄積と活用

検知されるハッキングの手法や頻度などのデータをリアルタイムに蓄積し、また即時に対応する運用が必要になります。
この際、アプリの再リリースを必要としない即時対応ができるかどうかも大きなポイントになります。

「DxShield」で実現可能なAndroidアプリのセキュリティ

ここまで読んでいただいたアプリ開発者の皆様は、「なかなか大変だな・・・」と感じたのではないでしょうか。
ハッキングによる被害は起きていないときにはその重大性にはなかなか気が付きませんが、いざ発生してしまうと大きな損害をもたらすことがあります。また、気付かずにハッキング攻撃を受け続けているということもあり得ます。

分かっているけどセキュリティにかける運用コストや経費が・・・という方は、「DxShield」が一つの答えになるかもしれません。

「DxShield」は上述のアプリセキュリティ対策を包括的に行うことが可能なサービスで、「DxShield」は月額27万円から利用することができます。後発であるがゆえに同種のツールの中では圧倒的に安価であることが特徴の1つです。
安価ですが機能は充実しており、ウェブブラウザで表示できる見やすい管理画面や、APKファイルをアップロードするだけという手軽な導入手順も「DxShield」の魅力。

→大きな画像を見る

「そういえば今までアプリのセキュリティについてはあまり考えてこなかったな」というデベロッパーの皆様は、是非アプリのセキュリティについても考えてみてはいかがでしょうか。
https://dxshield.altplus.co.jp/