2013年8月21日~23日に、パシフィコ横浜(神奈川県)で国内最大のゲーム開発者向けカンファレンス「コンピュータ・エンターテインメント・デベロッパーズ・カンファレンス 2013」(以下、CEDEC 2013)が開催。
CEDECとは、コンピュータエンターテインメント業界内外の有識者が開発者に新たな知見をもたらす基調講演と特別招待セッションが行われるほか、多種多様なワークショップ、ゲーム開発やビジネスに関して公募を中心とした発表の場。
開催初日に行われたwhiteCryption社の長尾豊氏の講演では、モバイルプラットフォームにおける不正行為や手段が実際にどのように行われているか、それに対して具体的な対策が有効であるのかを、同社のソリューションの内容を交えて説明が行われた。
昨今、飛躍的なモバイルアプリケーションの普及と同じくして、セキュリティの問題がスマートフォンやタブレットにまで侵食しており、そこでビジネスを行う企業や顧客の利益やプライバシーを脅かすケースが急激に増加しているのが事実。本稿では、同氏が語る現状の問題点と今後の対策を、幾つかの事例とともに紹介していこう。
増え続けるスマートフォンに向けた攻撃
AndroidやiOSを始めとするモバイル向けのOSの普及に伴い、スマートフォンアプリに対するセキュリティ問題が深刻化しているゲーム市場。はじめに長尾氏は、該当端末におけるアプリのセキュリティに関して、根本的な課題点をふたつ挙げた。
まずデバイスのオープンなアーキテクチャにおいては、誰もがソフトウェアの管理権を取得できる可能性があること。そして、ソフトウェア、ハードウェア、コンテンツ産業は毎年ソフトウェアへの攻撃によって多大な収益を失っているということだ。
それはコードの解析をはじめ、マルウェア(悪質コード)の注入、ソフトウェアの内容“改竄(かいざん)”、内部の知的財産の盗用、著作権侵害などなど……これらすべての攻撃に対して、常にアプリケーションが脅威に晒されていると同氏は警笛を鳴らした。
気付けばスマートフォンは世界中で10億台以上も普及している。そして長尾氏によると、恐ろしいことにスマートフォンの利用者の34%が、個人の秘密情報(アカウント、銀行口座情報、メールパスワードなど)をスマートフォン内に保存しているようだ。
さらにアメリカでは、スマートフォンの利用者の内、51%が端末でオンラインバンキング(インターネットを介した銀行取引)を利用しており、70%以上の企業が従業員に個人所有の携帯機器を業務で使うことを許している。
しかしながら、スマートフォンとタブレットの内、セキュリティソフトウェアを実際に利用しているのは、わずか5%以下。このような背景があり、たった2010年から2011年の一年間だけを見ても、スマートフォンを標的にしたマルウェアは155%も増加しているとのことだ。
セキュリティにおけるAndroidとiOSの弱点とは?
■ Androidについて
「Androidの一番の大きな弱点は“オープンソース”」と語る長尾氏。ソフトウェアの設計図にあたるソースコードを、インターネットなどを通じて公開することを意味するのは、ハッカーがAndroidの中身に精通していることが挙げられる。
続いて、第3者からのアプリを容易にインスールが出来ることは、マルウェアが混入する可能性が高くなる原因。また、これに関しては人気の裏返しだが、急激なAndroid端末の普及はハッカーの注目の的であるようだ。
そのためGoogly play(Android端末向けストア)のアプリは、ハッカーの格好のターゲットであり、TOP有料アプリの多くは既にクラックされ、無料版が出回っている。
そして下部のグラフは、実際の講演中に公開されたスライドの一部である。マルウェアの摘出件数をグラフにしたもので、2012年の第2四半期を境に、悪意のあるソフトウェアの数が急激に伸びていることが分かる。
▲データは2012年のため、現在の端末普及を考えれば、さらに増加していることは間違いないだろう。
■ iOSについて
iOSでは、非常に低いアンチウィルスソフトウェアの普及率が問題視されている。加えて悪意を持ったソフトフェアが、何食わぬ顔でアプリストアの審査を通過してしまう点も不思議なものだ。
そして、多くのアプリ開発者は、iOS自体のセキュリティに依存しているようだ。アプリレベルでのセキュリティは稀で、結果としてiOSのセキュリティに問題が生じた場合、全ての保護されてないアプリが危険に晒されてしまうのだ。
さらにiOS自体の制限を回避するために、多くの利用者が「Jailbreak」されたiOS端末を利用し、正規のアプリもハッカーの攻撃対象になってしまうと長尾氏。なお、この「Jailbreak」とは、意図していないところでコンピュータの制限を解除し、アプリケーションを動作させてしまう行為である。
保護システム「Cryptanium」について
ここで、長尾氏が在籍するwhiteCryption社についての説明があった。同社は20年以上に渡ってコードおよびデータ保護ソリューションの経験を持ち、ソフトウェアプロテクションとwhite-box暗号ソリューションの研究ならびに開発を行っている。現在では、100企業を含む20以上の顧客が同社の保護システム「Cryptanium」を採用している。
Cryptaniumのソリューション(情報システム)には、ソフトウェアの様々な保護を提供する“コードプロテクション”、そしてオープンアーキテクチャにおいて、完全な鍵の秘匿を実現する暗号ライブラリー“セキュアキーボックス”のふたつがある。それぞれの概要については、下部のスライドで記載。
▲左からコードプロテクションの概要、セキュアキーボックスの概要
それでは、具体的に「Cryptanium」によって、どのように保護機能が発揮されていくのか。まずはコードに自動的に重複する数千のチェッカーを挿入して、改竄から保護してくれる点が挙げられる。そのほかAPKパッケージの変更を検知することより、パッケージ内容の改竄を防止など、様々な保護機能が備えられている。こちらに関しては、実際の講演で用いられたスライドで確認してみよう。
このように様々な保護機能によって守られることが分かるが、より明確な恩恵を我々顧客はどのように受け取ることができるのだろうか。これについて長尾氏が熱弁をふるう。まずは世界中ですでに多くのアプリケーションを保護しているという「信頼できる技術」であること、加えてセキュリティの専門家チームが常時調査研究と改善を実施していることが挙げられるようだ。
さらに容易に既存のコードやビルドチェーンに適用可能であり、特別なセキュリティーハードウェアが不要のほか、ほとんどのOSに対応(Windows、OS X、Linux、Android、iOS)しているため、費用効果についても助けられる一面を持つのも魅力的だ。
何よりも他の攻撃から保護するため、ビジネス上の価値・信頼を飛躍的に伸ばすことができるのが大きい。エンドユーザからの信頼を得て、言わば長期に渡ってアプリから収益も得られるのだ。
「攻撃」を受けて「保護」するまで
ここからは実際にどのようにしてクラッキングが行われて、そして保護できるのかを、様々なケースを例にして具体的に説明していただいた。多種多様なケースのなかで、今回は当サイトに訪れる読者にも縁のある“オンラインゲーム”のケースを中心に下記で紹介していこう。
下部のようにオンラインゲームは、非常にシンプルなユースケースのなかで行われている。通常ゲームクライアントというのは、ゲームサーバーと繋げることによって、実際のゲームサービスを提供する。ここでハッカーは、ゲームクライアントとゲームサーバーの通信内容を解析して、偽物のゲームサーバーを立てるという。
実際のゲームサーバーというのは、正規のサーバーと同様にゲームの内容を提供しているのだが、偽物ではユーザーに有利となるゲーム条件を提供することによって、ユーザーを正規のゲームサーバーから“奪う”という攻撃が問題視されているのだ。対策としては、ゲームクライアントとゲームサーバーの内容・通信を暗号化すること。その後、暗号化する鍵をセキュアキーボックスで守ることによって、通信の安全性を保証してくれる。
もうひとつの攻撃の方法として、ゲームクライアントの内容を解析することにより“チートツール”、または改変されたゲームクライアントを直接作る場合がある。これを使うことによって、ユーザーは実際のオンラインゲームを有利に進めることができるとのこと。
そもそも正規のゲームクライアントを解析できるから改変されてしまうようだ。これらを防ぐために、コードプロテクションをかけることによって、ゲームクライアントの解析、または改変を非常に難しくできるとのこと。このようにして、先ほどのようなアタックからゲームクライアントを守ることができるのだ。
▲実際にオンラインゲーム上で行われるハッカーの動きを基にしたユースケース。
講演の最後に長尾氏は「個人の利益や純粋な好奇心などから、ソフトウェアの保護メカニズムを分析、そして破ろうとするユーザーは常に存在する」と話した。より長期的な収益性を確保するためには、そのプラットフォームにおけるセキュリティについての知識や対策が不可欠な要素であることが分かる。
また、上記で説明したwhiteCryption社のソリューションは、下記の関連サイトから無料評価版がダウンロードできる。無料ということもあり、一度触れてみてから商用に検討してみてはいかがだろうか。
■ 関連サイト
・コードプロテクション/セキュアキーボックス : 無料評価版
© 2013, whiteCryption, an Intertrust company. All rights reserved.
