【連載】「アプリケーションの保護はなぜ必要?」第一回:クラッキング被害事例と守るべき企業資産について

こんちには! マーケティング部 です。

4月となり新年度がはじまりました。昨年度は、こちらのブログで様々なトピックを取り上げましたが、今年度はアプリケーション(ソフトウェア)のセキュリティや、自社製品CrackProofの魅力について 改めて知って頂くため、基本的な内容からスタートしたいと思います!

・・まず第1弾は、「アプリケーションの保護はなぜ必要?」の連載です。
連載1回目はクラッキングについてを、企業のセキュリティ企画担当者様だけでなく、新たにアプリを活用した事業を企画されるマーケティング担当者様等にも理解頂けるよう編集しました。 是非ご覧ください。


<目次>

  1. そもそもクラッキングとは何か
  2. 実際どんな業界のどんなものが被害にあっている?
  3. なぜクラッキング被害が横行している?
  4. 今後の動向、まとめ

 1.そもそもクラッキングとは何か

いきなりですが、皆さんは「クラッキング」という言葉をご存知でしょうか。弊社サービスも「アプリをクラッキング被害から保護するセキュリティソリューション」と説明することがありますが、聞き慣れない方も多いと思います。クラッキングとは、英語でcrackingと書き、「ひび(割れ)、破壊」等を意味します。よく耳にされるハッキングという言葉がありますが、これはコンピュータ内プログラムを解析・改変することで、元々は製品・サービスの改善を目的としていました。

これと区別し、悪意のもとコンピューターシステム等に不正侵入しプログラムの解析・改ざんを行うことクラッキング と言います。
クラッキングの具体的な手口は、パスワードを割り当てるパスワードクラッキング、公共wifiを利用したネットワーククラッキング、webサイト改ざんやモバイルアプリの改ざんもこれに当たります。実際に国内でも被害が増加し、ニュースで取り上げられることが増えました。

 2.実際どんな業界のアプリが被害にあっている?

では、実際にどのような業界で被害が想定されているでしょうか。クラッキング被害と一口に言っても具体的な内容をイメージすることは難しいのではないでしょうか。そこで今回は弊社製品CrackProofを導入頂いている企業様のアプリケーション・ソフトウェアの事例を紹介したいと思います。

モバイルアプリのクラッキングというと、ゲームやマンガアプリ等へのチート行為や不正利用被害が思い浮かびますが、実はビジネスシーンなど含め皆さんにとってより身近なところでもリスクとして捉えられています。これらのリスクに対抗するための一例として、エンドポイントであるアプリケーションをクラッキングから守る対策が効果を生んだ事例があります。

■金融系アプリ■
最近ではネットショッピング同様、銀行の手続きや預金管理もモバイルアプリでの利用が増えています。クラッキングの大きな目的の1つに金銭目的がありますので、ネット上でのお金のやりとりはダイレクトに被害の的になり得ます。消費者の方が安心してアプリを利用頂くための対策として金融企業様には数多く製品を導入頂いております。
■複合機メーカー■
こちらは皆さんのオフィスでも広く使われているかと思います。実際にクラッキング被害に遭ったため問い合わせ頂きました。中身を解析されてしまうと技術を模倣し安価で模造品が販売されたり、複合機内に蓄積した機密データの漏洩といった大きな損害が伴うことがあります。
■CADソフト■
こちらは建設やアパレル・自動車の等設計で用いられるソフトウェアです。デザインだけでなく、圧力をかける等シミュレーションも可能なため現場での確認作業省略、設計作業効率化・データ共有等幅広い目的・分野で活用されています。先ほど挙げたシミュレーション計算プログラム等、重要なアルゴリズムが含まれるため、海賊版等の不正コピーや技術の抜き取り防止等でご利用頂いています。

このように、皆さんの身近にあるデバイスやソフト等あらゆるものが、クラッキング被害を受ける可能性が十分にあることをお分かり頂けたでしょうか。

どの業界でも各企業は独自技術や様々な機密データ、金融情報等非常に機密性の高い資産を抱えています。
場合によっては個人情報の漏洩ともすれば、企業の社会的信用性を欠く結果を招くことになります。
アプリケーション・ソフトウェアでのサービス提供をすることは、そういった資産を攻撃者がアクセス可能な状態にすることに十分繋がるのです。

 3.なぜクラッキング被害が横行している?

ではなぜこの不正な行為が増えているのでしょうか。例えば以下のような複数の理由が考えられます。

①無料クラッキングツールの増加
以前、プログラミング解析は知識を持ったエンジニア等による高度な技術を要する行為でしたが、今では簡単に解析できるツールが出回っています。(※米国家安全保障局(NSA)は、組織内で10年以上使用してきたソフトウェアリバースエンジニアリングツール「Ghidra」を無償で公開しています。)元々はプログラムの構造や仕組みを研究したり、解析技術をトレーニングするために開発されたツールでしたがそれらが無料であることも多く、解析行為自体が容易になったことで悪用されることが増えてしまいました。

海外では、クラッキングツールを開発し中国圏、英語圏のサイトに掲載し、SNS上で拡散・安価に販売し利益を得るというブラックマーケットも存在しています。

②OS(オペレーションシステム)の汎用化
OSとは、パソコンやスマートフォン上でアプリケーションを動かすための必須システムでアプリ動作やファイルの呼び出し、メモリの読み込みなど様々な動作を管理しています。企業は過去には独自のハードウェア・ソフトウェアを開発しその中でプログラムを組み製品やシステムを開発していました。よって、企業の扱う情報へのアクセスは容易ではありませんでした。ところが今では開発の効率性やグローバル展開時の標準準拠の必要性等が要因となり、 汎用化OSの利用が普及しました。 (土台となる共通のOSを使用することで開発スピードアップコスト削減につながる)Android、LinuxなどUnix系のOSが無償で利用可能となり、Windowsは特にビジネス利用で普及しました。

このように多くの人が使う共通基盤となっているため、解析・分析対象となりクラッキング被害のリスクが高まってきました。

③取り扱い情報の重要化
様々なサービスが生まれる中、各社の競争が激化し独自の開発技術が進み、ソフトウェアのアルゴリズムやノウハウの重要性、多様化した消費者ニーズ把握のための個人情報の価値が高まっています。さらに、企業倫理やプライバシー等の問題が取りざたされる状況も重なり、企業が抱える機密情報や個人情報は特に重要なデータとなっています。

そのような状況の中、業務効率化・非対面需要が高まり機密情報のデジタル化が進んでいます。
こうした情報を狙うクラッキングのリスクは益々高まっていると言えるでしょう。

 4.今後の動向、まとめ

皆さんの会社でも在宅勤務等働き方が変化し、コミュニケーションツールとしてテレビ会議や社内チャットツールのアプリを利用される機会が増えたのではないでしょうか。これらは社内業務効率化・円滑化として有効的で、今後このような動きは更に活発になると考えられます。その中には先ほど事例紹介で挙げた、社内で使用するソフトウェア等も含まれます。

これらは常にクラッキングの被害の可能性を抱えていて、今後、企業が抱える情報の重要度が増すにつれてリスクはますます大きくなるでしょう。様々な状況の変化に伴い業務効率化の考え方は今後も続いていくと予想されるため、その中で、企業のデータや信頼を守ることは今、企業の利益確保のために非常に必要な対策の1つと言えます。

次回は、「なぜアプリを保護する必要があるか」の根幹である、アプリの脆弱性について詳しく解説します。
是非お楽しみにしていてください!