アプリケーションセキュリティー分野のリーディングカンパニーであるDigital.ai(デジタルエーアイ)は、Open Web Application Security Project(OWASP)によるモバイルアプリケーションセキュリティー検証標準(MASVS)に関連して、独自のアルゴリズムを使うアプリや機密データを扱うアプリのコード強化の重要性を解説している。OWASP MASVSは、2023年に改訂され、モバイルアプリのセキュリティー強化を目的として、アプリ開発者とセキュリティーテスター向けに包括的なガイドラインを提供している。
OWASPが定義するMASVS-RESILIENCE対策は、Digital.aiのコード強化と改ざん防止へのアプローチと完全に一致している。これらの対策には、プラットフォームの整合性検証、改ざん防止メカニズムの実装、静的解析および動的解析技術の導入が含まれる。Digital.aiは、最初の3つの対策は重要だが、静的解析がなければ、アプリは高度な攻撃者によって容易に発見・無効化されてしまうため、脆弱なままであると強調している。
MASVS-RESILIENCE-3制御の実装を評価するため、Digital.aiはGoogle Playで上位にランクインしている無料アプリ40件をレビューし、特にコード難読化の兆候を探した。アプリは、名前変更の範囲に基づいて、名前変更なし、ローカル名前変更、グローバル名前変更の3つのカテゴリーに分類された。その結果、アプリの37%は完全に保護されておらず、28%は少数のクラスのみ名前変更され、35%はほとんどのクラスに名前変更が適用されていた。
これらの調査結果には重大な意味がある。保護されていない、または保護が不十分なアプリは、リバースエンジニアリングや改ざんの標的となりやすく、知的財産の漏洩、APIキーの露出、攻撃者が悪用できるビジネスロジックの漏洩につながる可能性がある。ゲームの場合、これは不正行為、改造、またはクローンリリースにつながり、収益とブランドの信頼性に直接影響を与える可能性がある。リスクが高いにもかかわらず、基本的なクライアント側保護は、注目度の高いアプリであっても、まだ普遍的な標準にはなっていない。これは、アプリのセキュリティーにおける一貫性と認識の向上が急務であることを浮き彫りにしている。
出典:Digital.ai
この製品の詳細については、Digital.ai製品ページをご覧ください。
