まっちゃ139 Hiki – 第23回まっちゃ139勉強会 /
http://matcha139.hiemalis.org/hiki/?%C2%E823%B2%F3%A4%DE%A4%C3%A4%C1%A4%E3%A3%B1%A3%B3%A3%B9%CA%D9%B6%AF%B2%F1
セキュリティ関係で有名な勉強会であるまっちゃ139勉強会が、大阪電気通信大学寝屋川校舎で開催されたので参加してきました。
今回のテーマは「スマートフォンセキュリティについて」ということで、造る側、作る側、守る側、という3つの視点から話をしていただくということで行われました。
下記に自分がメモした部分について記載します聞き間違いやメモの際に間違えたものが含まれているかもしれません。また、不用意にメモしたものがあるかもしれませんので、気になった点があった方はご指摘ください。
造る側:「Androidフォンのセキュリティ」(KDDI研究所 竹森敬祐さん)
すべてオフレコということでしたので、個人的な感想など。セキュリティを確保するために非常に多くの事柄に感心を払っておられるのだなと思いました。あと「Androidは結構安全です!w」
守る側: 「アンチウイルス屋から見たAndroidセキュリティ」 (Kaspersky前田さん)
- 年毎に増加している
- しかしながらシグネチャのモバイルOS向けに占める割合はまだまだ少ない
- とはいえ増加傾向なのは間違いない
- マルウェアファミリーは300種類以上
- マルウェア登録数は4706種類(いつ時点なのかメモできていない)
- 2010年8月の発見実績:314種類の新たな亜種
- 今年の8月現在Androidは24.25%(モバイルOSに対するマルウェア)
- Androidのアンチウィルスについてはパターンマッチ
- →Windowsにのものと、Androidのものとは、違うという認識でいて欲しい
- アンチウィルスの課題
- リアルタイム保護機能?
- 電池の減りの問題
- 一般ユーザ権限で動作
- →一般ユーザが強化していない限り、インストール済みの他のアプリのデータにアクセスできない
- →root権限で動作するマルウェアを削除できない
- →もっと凶悪なrootkit的なものが出てきたら・・・
- OS側からAPI提供を受ける、というかKernel callをフックしたい
- OSアップデート追随問題→悩ましい問題のようです
- 法人での運用に関してちゃんと計画を経ててから導入することを検討して欲しい
ここでまっちゃ恒例のおやつタイムがあったので、その時の写真を掲載します。
プリンは美味しかったです。他にも色々なケーキがあって美味しそうでした。
作る側: 「結構やりたい放題?Androidアプリの実際」 (はるぷさん)
- アプリケーションの解析デモ
- 逆コンパイルすると中身がしっかり見える(ロジックが見える)
- 対策:アプリケーションの難読化
- あまり期待できない
- 対策:アプリケーションの難読化
- アプリケーションのソースコードを守るのは難しい
- 中身を見られることは前提にする必要がある
- 見られて困る重要な処理や情報は端末上に置かない
- 何かが起きたときにユーザが判断できる情報を提供する
作る側: 「iOSの審査なんてくそくらえさ!」(たのアプ @tworksさん)
- 色々な観点からアプリの審査が行われる(項目として22項目)
- 例えば
- 機能面からだと
- アプリの紹介文にない隠し機能を持つのはリジェクト
- サンドボックス外のデータを読み書きするアプリは駄目
- インターフェース面からだと
- アプリのI/Fが複雑であったりクオリティが低い場合は駄目
- 法律面からだと
- アプリ配布する地域の法律に従う必要→順守は開発者の責務
- 誤り、虚偽、誤解を招く説明を含むアプリは駄目
- 審査の意義
- バグがあるアプリ、悪意を持つアプリの排除
- 審査のコスト
- Androidは年25ドル(Marketへの登録料)→審査なし
- WindowsPhoneとiOS年間99ドル(※Windowsは101本目から別途審査料がかかる)
- 機能面からだと
- まとめ
- 審査には市場を健全化する効果がある
- 健全なプラットフォームには健全なアプリが流通する
- Appleさんは頑張っている
- オープンプラットフォームにも面白さはある。ユーザは潜むリスクについて認識する必要がある
非常に濃い4時間でしたが、スマートフォンに関して色々なことを聞きまたセキュリティに関しても色々と対策が考えられているのだなと思いました。また何気に使用しているスマートフォンは、色々な人たちに安全を確保する努力をされていることも分かりました。
ただ、キャリアやベンダーだけでなく、ユーザ自身もセキュリティに関して一緒に考えて行かないといけないのは間違いないという認識を持ちました。
来週行われる名古屋情報セキュリティ勉強会でも同じくスマートフォンのセキュリティに関する内容のようなので、気になる方は参加してみてはいかがでしょうか。