Arxan

今、アプリは脅威に晒されている

モバイルアプリ、ことにゲームアプリはクラッキングの脅威に晒されています。モバイルゲーム市場の急拡大により、ゲームアプリは海外のクラッカーの格好のターゲットになっています。現在、クラッキングのためのツールが一般に出回っているため、クラッカーは比較的容易にアプリを攻撃できるようになっています。また、コピーや改変されたゲームをダウンロードできるサイトも存在します。

クラッキングを受けたり、違法コピーなどが出回った場合、多額の費用を掛けて開発したアプリから本来得られるはずだった収益を失うことになります。また、万一マルウェアが仕掛けられたりするとメーカーのブランドが大きく毀損してしまいます。さらに、画像、音声などが流出した場合には版権元からの訴訟リスクさえ負わなければならないことになります。

現状と対策

クラッキング対策が十分でなかった数年前の調査では、Androidアプリの100%、iOSアプリの56%がクラッキングされていたという事実があります。これを受けて現在ではクラッキング対策が進み、この数値には変化が起きています。しかしながら、クラッカーの技術も向上しており、より厳重な対策が求められるようになってきました。

しかしながらセキュリティソフトはどれでも同じということはありません。実際の例として、Android、iOS版のゲームアプリにある会社のバイナリープロテクトを使用していたにもかかわらず、リリース翌日に海賊版の流通を確認したということがありました。また別の例では某社のソースコードプロテクトを使用しようとして1カ月以上の時間をかけたものの、ソースコードへの組み込みが困難で実装ができなかったという事例もあります。

クラッカーのクラッキング戦術

クラッカーは、

  1. リバースエンジニアリングの手法でアプリを分析
  2. バイナリの解析、解読を行い攻撃方法を決定
  3. IP(知的財産)を盗む、バイナリを改変し酷似したアプリを作成

という手順でクラッキングを行います。具体的には、リバースエンジニアリングによる静的解析で関数名からアドレスを特定してその部分のバイナリをコピーしてIPを盗用し、暗号鍵、証明書情報、サーバとの認証キーなどを読み出します。また、バイナリを改変して実行環境のチェック、DRM機能などを無効化し、マルウェアの挿入やゲームのチート、類似製品の販売などを行います。

これへの対策としては、コードの難読化、静的解析対策としてのパッキング、アンチデバッグ、コードの自己修復、自己破壊、暗号化などがあります。これらの対策を適切に行うことにより、アプリの堅牢性は飛躍的に向上します。

Untrusted Environmentsを考慮した
新しいアプリケーションセキュリティの開発サイクル

導入シナリオ

  • ソースコードの変更不要
  • 既存アプリケーション(バイナリ)に適応
    MapファイルとバイナリファイルがあればGuardの適応可能
  • 新規アプリケーションの開発時に導入
    詳細設計(関数名がコーディング)が完了次第、適応可能
  • 通常のソフトウェア開発プロセス(SDLC)には影響しない
    開発者の全員がArxan適応に関してセキュリティを考慮する必要はない

Arxan のセキュリティソリューション

Arxanは米国防総省専門のセキュリティソリューションベンダーとして2001年に設立後、2006年まで軍事部門向けのみのソフトウェアを提供してきたセキュリティ専門企業です。アプリケーション内部にセキュリティ機能を埋め込むことにより、追加ライブラリや監視ソフトではなくアプリ単独で防御可能な機能を付加します。

アプリのソースコードを変更する必要がないため、アプリの設計、開発工程に影響を与えません。セキュリティの強化とパフォーマンスの維持という相反する課題を解決するための最適なチューニングを行うことができます。対応するプラットフォームはAndroid、iOS以外にもWindows、Mac OSX、Linuxなどの非モバイル環境も含みます。

ゲーム業界以外にも適応可能

Arxanのセキュリティソリューションは広範な分野に適応が可能です。モバイル化の進展により、オンラインバンキングやオンラインショッピングの専用アプリが使われるようになっています。また、ほかのクリティカルな分野にも専用アプリが使われており、これらのセキュリティ対策は喫緊の課題となっています。例えばコネクテッドカー分野では車載ファームウェアの脆弱性が潜在的なリスクとして注目されています。Arxanは人命に直結するIoT機器のソフトウェアをリバースエンジニアリングから保護します。

コード堅牢化ソリューションまとめ

  • アプリケーションがアプリケーションを自ら防御
  • リアルタイムに攻撃を検出、回避
  • モバイルを含む幅広いプラットフォームへの対応
  • 強度とパフォーマンスに対し柔軟にチューニングが可能
  • Guardレイヤー構築による多重防御
  • 「バイナリープロテクション」ソースコードの変更不要

コンサルティング

Digital StacksはArxan導入にあたりセキュリティポリシーの策定、プロセス開発・統合、プログラム管理、セキュリティ知識のドキュメント化、トレーニングなどのコンサルテーションを提供しています。

Arxanについてもっと知りたい

Arxanに関するお問い合わせはお気軽にお寄せください。