SlideShare ist ein Scribd-Unternehmen logo

モバイルアプリケーションセキュリティ101

T
TokujiAkamine
Technologie
1 von 20
Downloaden Sie, um offline zu lesen
モバイルアプリケーション セキュリティ101 Security Assurance Group, System Security Oiffice, DU, Rakuten, Inc. Tokuji Akamine, Chris Liu
自己紹介 •  Tokuji Akamine 赤嶺徳治 @tokujia OWASP Japan アドバイザリボードメンバ セキュリティアシュアランスグループマネージャ リードセキュリティエンジニア 楽天レッドチームメンバ •  Chris Liu シニアセキュリティエンジニア 楽天レッドチームメンバ 2
アジェンダ •  スマートデバイスの成長 •  OWASPモバイルセキュリティプロジェクト •  モバイルアプリ開発におけるセキュリティ的課題 •  OWASPモバイルトップ10リスク •  OWASPモバイルトップ10コントロール
スマートデバイスの成長 •  Nearly 1 Billion Smart Connected Devices Shipped in 2011 with Shipments Expected to Double by 2016, According to IDC Source: IDC http://www.idc.com/getdoc.jsp?containerId=prUS23398412
モバイルアプリ開発におけるセキュリティ的課題 •  デバイスの盗難、紛失リスクが高い •  容易にROOT化、脱獄が可能 •  プラットフォーム、デバイスごとに異なる機能 •  パッチ、アップデートが困難 •  スクリーンが狭い •  キー入力の困難性 etc. 5
OWASPモバイルセキュリティプロジェクト • OWASP Mobile Security Project https://www.owasp.org/index.php/OWASP_Mobile_Security_Project “The OWASP Mobile Security Project is a centralized resource intended to give developers and security teams the resources they need to build and maintain secure mobile applications.”
OWASPトップ10モバイルリスク(v1.0候補)   1.  脆弱なデータストレージ 2.  脆弱なサーバサイドコントロール 3.  不完全なトランスポート層の保護 4.  クライアントサイドインジェクション 5.  脆弱な認証、認可 6.  不適切なセッション管理 7.  信頼できない入力によるセキュリティ判断 8.  サイドチャネルデータ漏洩 9.  脆弱な暗号 10. 機密情報の漏洩
OWASPトップ10モバイルコントロール   1. モバイルデバイス上の機密データの識別と保護 2. デバイス上のパスワードクレデンシャルの安全な管理 3. 送信時における機密データの保護 4. 適切なユーザ認証/認可およびセッション管理の実装 5. バックエンドAPIとサーバプラットフォームの継続的堅牢化 6. サードパーティサービス/アプリケーションとのセキュアなデータ連携 7. ユーザデータの収集と使用に対する承諾の収集、保存への注意 8. 有料リソース(電子ウォレット、SMS、通話等)に対する権限のないアクセ スを防止する対策の実装 9. モバイルアプリケーションのセキュアなディストリビューション/プロビジョ ニング 10. コードのランタイムインタプリテーションのエラー確認 日本語訳: https://docs.google.com/document/d/1QOWOrsAo-33bHLdAZksKa4F_8_A_6XndoDF6ri4na_k/edit?pli=1
1.  モバイルデバイス上の機密データの識別と保護   •  機密データはクライアントエンドデバイスではなくサーバに保存する。 •  もし暗号化されていないのであれば機密データを保存/キャッシュしない。 •  共有ストレージは信頼できないものと見なす。情報は共有ストレージから 想定していない方法で容易に漏洩する可能性がある。 例: - ワールドリーダブルファイル(Android) fos = openFileOutput(“secret.txt", Context.MODE_WORLD_READABLE); - スクリーンショットキャッシュ (iOS) /var/mobile/Library/Caches/Snapshots/myapp/ UIApplicationAutomaticSnapshotDefault-Portrait@2x.jpg ケーススタディ: - Skype Information Leakage due to file http://www.androidpolice.com/2011/04/14/exclusive-vulnerability-in-skype- for-android-is-exposing-your-name-phone-number-chat-logs-and-a-lot-more/
2.  デバイス上のパスワードクレデンシャルの安全な管理   •  パスワードを使用する代わりに、デバイス上に長期間安全に保存できる 認可トークンの使用を検討する。 •  パスワードおよびキーがキャッシュまたはログに出力されていないか確 認する。 •  SMSはセキュアチャネルではなく、機密情報を送信する上で信頼するこ とはできない。 例: - Shared Preferences、KeyChainへのパスワードの保存 ROOT化、脱獄化により奪取可能。→デモ1 ケーススタディ: - Facebook, Dropbox Security Hole http://www.mobileusers.com/2012/04/06/iphone-and-android-facebook- app-security-hole-gives-green-light-to-identity-theft/ - Discovering a Major Security Hole in Facebook's Android SDK http://blog.parse.com/2012/04/10/discovering-a-major-security-hole-in- facebooks-android-sdk/
3.  送信時における機密データの保護   •  機密情報を無線/有線にて送信するときには、アプリケーションは(SSL/ TLSのような)エンドツーエンドの安全な通信チャネルの使用を強制する べきである。 •  強度の高い暗号化アルゴリズムとキー長の使用を強制する。署名されて いない証明書を許可せず、信頼できる認証局のみを許可する。SSL接 続検証を無効または無視しない。 例: - 不適切なSSL接続検証 - 機密データの平文での送信 ケーススタディ: - LinkedIn Privacy Issue http://blog.skycure.com/2012/06/linkedout-linkedin-privacy- issue.html - Nordea mobile bank app MITM attack http://www.encripto.no/forskning/whitepapers/ Nordea_mobilbank_android_multiple_vulnerabilities.pdf
4.  適切なユーザ認証/認可およびセッション管理の実装   •  適切な強度のユーザ認証をアプリケーションに求める。初回の登録時に パスワード強度に関してフィードバックを提供することは有用かもしれない。 •  最初の認証後、セッション管理を適切に実施することは重要である。認証 クレデンシャルまたはトークンの送信を後続のリクエストに対しても要求 する。 •  エントロピーが高く推測不可能なセッション識別子を使用する。 •  (デバイス識別子よりも)エンドユーザの識別子に紐付いた認証を使用する。 例: - 脆弱なクライアントサイド認証 →デモ2 ケーススタディ: - Linking UDIDs to OpenFeint user accounts https://api.openfeint.com/users/for_device.xml?udid=XXX http://corte.si/posts/security/openfeint-udid-deanonymization/ index.html
5.  バックエンドAPI(サービス)と   プラットフォーム(サーバ)の継続的堅牢化   •  OS、Webサービスおよびその他のアプリケーションコンポーネントに対し て最新のセキュリティパッチを適用した堅牢な設定で、バックエンドプラッ トフォーム(サーバ)を稼働させる。 •  Webサービス、RESTおよびAPIはWebアプリケーションと同様の脆弱性 を持つ。脆弱性が存在するか確認するためにバックエンドのWebサー ビス、REST、およびAPIへのテストを実施する。ユースケーステストに加 えて不正なケーステストを実施する。 例: - 通常のWebアプリケーションやWebサービスの脆弱性 (XSS、SQLインジェクション等)
6.  サードパーティサービス/アプリケーション   とのセキュアなデータ連携   •  モバイルアプリケーションが使用するサードパーティコード/ライブラリの 安全性/信頼性を入念に検査する。 •  モバイルアプリケーションにて使用されている全てのサードパーティフレ ームワーク/APIに対するセキュリティパッチに関してトラックする。 •  信頼できないサードパーティアプリとの送受信データをアプリケーション 内で使用する前に、検証に特別な注意を払う。 例: - 広告用API による情報漏洩 - NDKによるC言語の脆弱性 ケーススタディ: - アップログ http://matome.naver.jp/odai/2131778619234854901 ※利用者情報を、本人に明示しないまま集めていた問題
7.  ユーザデータの収集と使用に対する承諾の   収集.保存への注意   •  個人データを使用に関するプライパシーポリシーを作成し、特に承諾の 判断を行うときにユーザが確認できるようにする。 •  アプリケーションがPIIを収集していないか確認する。 •  PIIの送信に対する承諾記録をユーザが確認できるようにする。 例: - 不必要なパーミッションの要求(Android) - PII Transfer ケーススタディ: - LinkedIn、カレログ、Angry Bird、the Movie、Path、etc. - What They Know by WSJ http://blogs.wsj.com/wtk-mobile/ - Unauthorized iPhone And iPad Apps Leak Private Data Less Often Than Approved Ones http://www.forbes.com/sites/andygreenberg/2012/02/14/unauthorized- iphone-and-ipad-apps-leak-private-data-less-often-than-approved-ones/
8.  有料リソースに対する権限のない   アクセスを防止する対策の実装   •  有料リソースへのアクセスログを否認不能な形式で保存し、エンドユーザが確認 できるようにする。権限のないアクセスからログを保護する。 •  有料リソースの異常な使用パターンを確認し、再認証を要求する。 •  有料リソースに対する全てのAPIコールを認証する。 •  ウォレットAPIコールバックが平文でアカウント/料金/支払いまたは商品情報 を送信しないようにする。 例: - Android exported属性 →デモ3 - デバイス内での購入状況管理 ケーススタディ: - Crack In-App Purchase in iOS with iAP Cracker http://jailbreakstory.com/2011/09/crack-in-app-purchases-in-ios-with- iap-cracker/
9.  モバイルアプリケーションのセキュアな   ディストリビューション/プロビジョニング   •  アップストアによる承認のための要求事項とそれによる遅延を考慮に入れ、アプ リケーションはセキュリティパッチのためにアップデートを行うことを許可するよう 設計され、提供されなければならない。 •  リモートキル機能の提供 •  フィードバックチャネル
10.  コードのランタイムインタプリテーションのエラー確認   •  ランタイムインタプリテーションとランタイムインタプリタに提供される機能を最小 限にする。 •  最小権限でインタプリタを実行する。 •  インタープリタに対するファズテスト •  コードがインタプリットするのがいつもテキストとは限らないことを注意する。 例: - クラッシュ分析 /data/tombstones/ (Android)
  Xcode – Organizer – Device Logs(iOS) - ファジングテスト  Monkey: ユーザ行為のファジング
リファレンス •  OWASP Mobile Security Project https://www.owasp.org/index.php/OWASP_Mobile_Security_Project •  iOS Developer Library Secure Coding Guide http://developer.apple.com/library/ios/#DOCUMENTATION/Security/Conceptual/ SecureCodingGuide/Introduction.html https://developer.apple.com/library/mac/documentation/security/conceptual/ SecureCodingGuide/SecureCodingGuide.pdf •  iOS Security released by Apple on May 2012 http://images.apple.com/ipad/business/docs/iOS_Security_May12.pdf •  Iphone data protection tools http://code.google.com/p/iphone-dataprotection/ •  class-dump-z http://code.google.com/p/networkpx/wiki/class_dump_z •  Cycript http://www.cycript.org/ •  Hacking and Securing iOS Applications by Jonathan Zdziarski •  iOS Hacker's Handbook by Charlie Miller, Dino DaiZovi, and others •  Smart Phone Security: How (Not) To Summon The Devil http://crypto.hyperlink.cz/files/rosa_scforum12_v1.pdf •  Seven Ways to Hang Yourself with Google Android http://crypto.hyperlink.cz/files/rosa_scforum12_v1.pdf •  Android Developers Designing for Security http://developer.android.com/guide/practices/security.html 19
Thank you !! tokuji.akamine@mail.rakuten.com yulu.liu@mail.rakuten.com 20

Empfohlen

Owasp evening : Privacy x Design with OWASP
Owasp evening : Privacy x Design with OWASPOwasp evening : Privacy x Design with OWASP
Owasp evening : Privacy x Design with OWASPRiotaro OKADA
 
アカウントハッキングと戦う!モバイルゲームに今、求められるセキュリティ
アカウントハッキングと戦う!モバイルゲームに今、求められるセキュリティアカウントハッキングと戦う!モバイルゲームに今、求められるセキュリティ
アカウントハッキングと戦う!モバイルゲームに今、求められるセキュリティNHN テコラス株式会社
 
アプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するにはアプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するにはRiotaro OKADA
 
Privacy by Design with OWASP
Privacy by Design with OWASPPrivacy by Design with OWASP
Privacy by Design with OWASPRiotaro OKADA
 
「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座Riotaro OKADA
 
DXとセキュリティ / IPA Digital Symposium 2021
DXとセキュリティ / IPA Digital Symposium 2021DXとセキュリティ / IPA Digital Symposium 2021
DXとセキュリティ / IPA Digital Symposium 2021Riotaro OKADA
 
2019 1009 f-secure_ali_eater_tokyo13_slideshare
2019 1009 f-secure_ali_eater_tokyo13_slideshare2019 1009 f-secure_ali_eater_tokyo13_slideshare
2019 1009 f-secure_ali_eater_tokyo13_slideshareShinichiro Kawano
 
通信の安全を守るためにエンジニアができること
通信の安全を守るためにエンジニアができること通信の安全を守るためにエンジニアができること
通信の安全を守るためにエンジニアができることKazuaki Fujikura
 

Empfohlen

Owasp evening : Privacy x Design with OWASP
Owasp evening : Privacy x Design with OWASPOwasp evening : Privacy x Design with OWASP
Owasp evening : Privacy x Design with OWASPRiotaro OKADA
 
アカウントハッキングと戦う!モバイルゲームに今、求められるセキュリティ
アカウントハッキングと戦う!モバイルゲームに今、求められるセキュリティアカウントハッキングと戦う!モバイルゲームに今、求められるセキュリティ
アカウントハッキングと戦う!モバイルゲームに今、求められるセキュリティNHN テコラス株式会社
 
アプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するにはアプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するにはRiotaro OKADA
 
Privacy by Design with OWASP
Privacy by Design with OWASPPrivacy by Design with OWASP
Privacy by Design with OWASPRiotaro OKADA
 
「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座Riotaro OKADA
 
DXとセキュリティ / IPA Digital Symposium 2021
DXとセキュリティ / IPA Digital Symposium 2021DXとセキュリティ / IPA Digital Symposium 2021
DXとセキュリティ / IPA Digital Symposium 2021Riotaro OKADA
 
2019 1009 f-secure_ali_eater_tokyo13_slideshare
2019 1009 f-secure_ali_eater_tokyo13_slideshare2019 1009 f-secure_ali_eater_tokyo13_slideshare
2019 1009 f-secure_ali_eater_tokyo13_slideshareShinichiro Kawano
 
通信の安全を守るためにエンジニアができること
通信の安全を守るためにエンジニアができること通信の安全を守るためにエンジニアができること
通信の安全を守るためにエンジニアができることKazuaki Fujikura
 
Webアプリのセキュリティ 20170824
Webアプリのセキュリティ 20170824Webアプリのセキュリティ 20170824
Webアプリのセキュリティ 20170824Masakazu Ikeda
 
Cloud securiy boot camp for zero trust
Cloud securiy boot camp for zero trustCloud securiy boot camp for zero trust
Cloud securiy boot camp for zero trustHiroyuki Komachi
 
「情報セキュリティ10大脅威2017」 から読み取る最新セキュリティ傾向とその対策
「情報セキュリティ10大脅威2017」 から読み取る最新セキュリティ傾向とその対策 「情報セキュリティ10大脅威2017」 から読み取る最新セキュリティ傾向とその対策
「情報セキュリティ10大脅威2017」 から読み取る最新セキュリティ傾向とその対策 NHN テコラス株式会社
 
OWASP IoT Top10 超初級編
OWASP IoT Top10 超初級編OWASP IoT Top10 超初級編
OWASP IoT Top10 超初級編AkitadaOmagari
 
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADAビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADARiotaro OKADA
 
Nishimura i os版firefoxの脆弱性を見つけ出す_jp
Nishimura i os版firefoxの脆弱性を見つけ出す_jpNishimura i os版firefoxの脆弱性を見つけ出す_jp
Nishimura i os版firefoxの脆弱性を見つけ出す_jpPacSecJP
 
できることから始めるセキュリティ対策
できることから始めるセキュリティ対策できることから始めるセキュリティ対策
できることから始めるセキュリティ対策NHN テコラス株式会社
 
Css2013 api distance
Css2013 api distanceCss2013 api distance
Css2013 api distanceInfo_SecureBrain
 
MongoDBの脆弱性診断 - smarttechgeeks
MongoDBの脆弱性診断 - smarttechgeeksMongoDBの脆弱性診断 - smarttechgeeks
MongoDBの脆弱性診断 - smarttechgeekstobaru_yuta
 
Webアプリケーション脆弱性診断について
Webアプリケーション脆弱性診断についてWebアプリケーション脆弱性診断について
Webアプリケーション脆弱性診断についてtobaru_yuta
 
超高速開発を実現するチームに必要なセキュリティとは
超高速開発を実現するチームに必要なセキュリティとは超高速開発を実現するチームに必要なセキュリティとは
超高速開発を実現するチームに必要なセキュリティとはRiotaro OKADA
 
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2tobaru_yuta
 
Microsoft 365 Day Session 5
Microsoft 365 Day Session 5Microsoft 365 Day Session 5
Microsoft 365 Day Session 5日本マイクロソフト株式会社
 
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについてTyphon 666
 
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』aitc_jp
 
セキュリティスキルをゲットする、たった3つの方法
セキュリティスキルをゲットする、たった3つの方法セキュリティスキルをゲットする、たった3つの方法
セキュリティスキルをゲットする、たった3つの方法Riotaro OKADA
 
OWASP Top 10 超初級編
OWASP Top 10 超初級編OWASP Top 10 超初級編
OWASP Top 10 超初級編AkitadaOmagari
 
『サイバーセキュリティ経営ガイドライン』開発現場への影響の話
『サイバーセキュリティ経営ガイドライン』開発現場への影響の話『サイバーセキュリティ経営ガイドライン』開発現場への影響の話
『サイバーセキュリティ経営ガイドライン』開発現場への影響の話NHN テコラス株式会社
 
CISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるにはCISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるにはRiotaro OKADA
 
The Shift Left Path and OWASP
The Shift Left Path and OWASPThe Shift Left Path and OWASP
The Shift Left Path and OWASPRiotaro OKADA
 
Monacaエンタープライズのご紹介
Monacaエンタープライズのご紹介Monacaエンタープライズのご紹介
Monacaエンタープライズのご紹介アシアル株式会社
 
”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)
”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)
”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)Shinobu Yasuda
 

Weitere ähnliche Inhalte

Was ist angesagt?

Webアプリのセキュリティ 20170824
Webアプリのセキュリティ 20170824Webアプリのセキュリティ 20170824
Webアプリのセキュリティ 20170824Masakazu Ikeda
 
Cloud securiy boot camp for zero trust
Cloud securiy boot camp for zero trustCloud securiy boot camp for zero trust
Cloud securiy boot camp for zero trustHiroyuki Komachi
 
「情報セキュリティ10大脅威2017」 から読み取る最新セキュリティ傾向とその対策
「情報セキュリティ10大脅威2017」 から読み取る最新セキュリティ傾向とその対策 「情報セキュリティ10大脅威2017」 から読み取る最新セキュリティ傾向とその対策
「情報セキュリティ10大脅威2017」 から読み取る最新セキュリティ傾向とその対策 NHN テコラス株式会社
 
OWASP IoT Top10 超初級編
OWASP IoT Top10 超初級編OWASP IoT Top10 超初級編
OWASP IoT Top10 超初級編AkitadaOmagari
 
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADAビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADARiotaro OKADA
 
Nishimura i os版firefoxの脆弱性を見つけ出す_jp
Nishimura i os版firefoxの脆弱性を見つけ出す_jpNishimura i os版firefoxの脆弱性を見つけ出す_jp
Nishimura i os版firefoxの脆弱性を見つけ出す_jpPacSecJP
 
できることから始めるセキュリティ対策
できることから始めるセキュリティ対策できることから始めるセキュリティ対策
できることから始めるセキュリティ対策NHN テコラス株式会社
 
MongoDBの脆弱性診断 - smarttechgeeks
MongoDBの脆弱性診断 - smarttechgeeksMongoDBの脆弱性診断 - smarttechgeeks
MongoDBの脆弱性診断 - smarttechgeekstobaru_yuta
 
Webアプリケーション脆弱性診断について
Webアプリケーション脆弱性診断についてWebアプリケーション脆弱性診断について
Webアプリケーション脆弱性診断についてtobaru_yuta
 
超高速開発を実現するチームに必要なセキュリティとは
超高速開発を実現するチームに必要なセキュリティとは超高速開発を実現するチームに必要なセキュリティとは
超高速開発を実現するチームに必要なセキュリティとはRiotaro OKADA
 
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2tobaru_yuta
 
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについてTyphon 666
 
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』aitc_jp
 
セキュリティスキルをゲットする、たった3つの方法
セキュリティスキルをゲットする、たった3つの方法セキュリティスキルをゲットする、たった3つの方法
セキュリティスキルをゲットする、たった3つの方法Riotaro OKADA
 
OWASP Top 10 超初級編
OWASP Top 10 超初級編OWASP Top 10 超初級編
OWASP Top 10 超初級編AkitadaOmagari
 
『サイバーセキュリティ経営ガイドライン』開発現場への影響の話
『サイバーセキュリティ経営ガイドライン』開発現場への影響の話『サイバーセキュリティ経営ガイドライン』開発現場への影響の話
『サイバーセキュリティ経営ガイドライン』開発現場への影響の話NHN テコラス株式会社
 
CISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるにはCISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるにはRiotaro OKADA
 
The Shift Left Path and OWASP
The Shift Left Path and OWASPThe Shift Left Path and OWASP
The Shift Left Path and OWASPRiotaro OKADA
 

Was ist angesagt? (20)

Webアプリのセキュリティ 20170824
Webアプリのセキュリティ 20170824Webアプリのセキュリティ 20170824
Webアプリのセキュリティ 20170824
 
Cloud securiy boot camp for zero trust
Cloud securiy boot camp for zero trustCloud securiy boot camp for zero trust
Cloud securiy boot camp for zero trust
 
「情報セキュリティ10大脅威2017」 から読み取る最新セキュリティ傾向とその対策
「情報セキュリティ10大脅威2017」 から読み取る最新セキュリティ傾向とその対策 「情報セキュリティ10大脅威2017」 から読み取る最新セキュリティ傾向とその対策
「情報セキュリティ10大脅威2017」 から読み取る最新セキュリティ傾向とその対策
 
OWASP IoT Top10 超初級編
OWASP IoT Top10 超初級編OWASP IoT Top10 超初級編
OWASP IoT Top10 超初級編
 
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADAビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
 
Nishimura i os版firefoxの脆弱性を見つけ出す_jp
Nishimura i os版firefoxの脆弱性を見つけ出す_jpNishimura i os版firefoxの脆弱性を見つけ出す_jp
Nishimura i os版firefoxの脆弱性を見つけ出す_jp
 
できることから始めるセキュリティ対策
できることから始めるセキュリティ対策できることから始めるセキュリティ対策
できることから始めるセキュリティ対策
 
Css2013 api distance
Css2013 api distanceCss2013 api distance
Css2013 api distance
 
MongoDBの脆弱性診断 - smarttechgeeks
MongoDBの脆弱性診断 - smarttechgeeksMongoDBの脆弱性診断 - smarttechgeeks
MongoDBの脆弱性診断 - smarttechgeeks
 
Webアプリケーション脆弱性診断について
Webアプリケーション脆弱性診断についてWebアプリケーション脆弱性診断について
Webアプリケーション脆弱性診断について
 
超高速開発を実現するチームに必要なセキュリティとは
超高速開発を実現するチームに必要なセキュリティとは超高速開発を実現するチームに必要なセキュリティとは
超高速開発を実現するチームに必要なセキュリティとは
 
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
 
Microsoft 365 Day Session 5
Microsoft 365 Day Session 5Microsoft 365 Day Session 5
Microsoft 365 Day Session 5
 
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
 
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』
 
セキュリティスキルをゲットする、たった3つの方法
セキュリティスキルをゲットする、たった3つの方法セキュリティスキルをゲットする、たった3つの方法
セキュリティスキルをゲットする、たった3つの方法
 
OWASP Top 10 超初級編
OWASP Top 10 超初級編OWASP Top 10 超初級編
OWASP Top 10 超初級編
 
『サイバーセキュリティ経営ガイドライン』開発現場への影響の話
『サイバーセキュリティ経営ガイドライン』開発現場への影響の話『サイバーセキュリティ経営ガイドライン』開発現場への影響の話
『サイバーセキュリティ経営ガイドライン』開発現場への影響の話
 
CISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるにはCISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるには
 
The Shift Left Path and OWASP
The Shift Left Path and OWASPThe Shift Left Path and OWASP
The Shift Left Path and OWASP
 

Ähnlich wie モバイルアプリケーションセキュリティ101

Monacaエンタープライズのご紹介
Monacaエンタープライズのご紹介Monacaエンタープライズのご紹介
Monacaエンタープライズのご紹介アシアル株式会社
 
”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)
”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)
”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)Shinobu Yasuda
 
SORACOM Conference Discovery 2017 | A1. IoTセキュリティの選択肢
SORACOM Conference Discovery 2017 | A1. IoTセキュリティの選択肢SORACOM Conference Discovery 2017 | A1. IoTセキュリティの選択肢
SORACOM Conference Discovery 2017 | A1. IoTセキュリティの選択肢SORACOM,INC
 
Androidのセキュア開発について考えてみた(明日、敗訴しないためのセキュアコーディング.ver2)
Androidのセキュア開発について考えてみた(明日、敗訴しないためのセキュアコーディング.ver2)Androidのセキュア開発について考えてみた(明日、敗訴しないためのセキュアコーディング.ver2)
Androidのセキュア開発について考えてみた(明日、敗訴しないためのセキュアコーディング.ver2)Kengo Suzuki
 
Edb summit 2016_20160216.omo
Edb summit 2016_20160216.omoEdb summit 2016_20160216.omo
Edb summit 2016_20160216.omoKazuki Omo
 
クロスプラットフォーム開発を可能にするMonaca
クロスプラットフォーム開発を可能にするMonacaクロスプラットフォーム開発を可能にするMonaca
クロスプラットフォーム開発を可能にするMonacaMonaca
 
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデルシスコシステムズ合同会社
 
クロスプラットフォーム開発を可能にするMonacaとそのセキュリティ対策
クロスプラットフォーム開発を可能にするMonacaとそのセキュリティ対策クロスプラットフォーム開発を可能にするMonacaとそのセキュリティ対策
クロスプラットフォーム開発を可能にするMonacaとそのセキュリティ対策Monaca
 
SORACOM Technology Camp 2018 | B4. 後手に回りがちなIoTセキュリティをどうすべきなのか
SORACOM Technology Camp 2018 | B4. 後手に回りがちなIoTセキュリティをどうすべきなのかSORACOM Technology Camp 2018 | B4. 後手に回りがちなIoTセキュリティをどうすべきなのか
SORACOM Technology Camp 2018 | B4. 後手に回りがちなIoTセキュリティをどうすべきなのかSORACOM,INC
 
LG vs. Samsung スマートTV: あなたを追跡できるのはどちら? by イ・サンミン
LG vs. Samsung スマートTV: あなたを追跡できるのはどちら? by イ・サンミンLG vs. Samsung スマートTV: あなたを追跡できるのはどちら? by イ・サンミン
LG vs. Samsung スマートTV: あなたを追跡できるのはどちら? by イ・サンミンCODE BLUE
 
あなたはどうデータを守る?クラウド・AI・自動化を使った、みえない脅威との戦い方
あなたはどうデータを守る?クラウド・AI・自動化を使った、みえない脅威との戦い方あなたはどうデータを守る?クラウド・AI・自動化を使った、みえない脅威との戦い方
あなたはどうデータを守る?クラウド・AI・自動化を使った、みえない脅威との戦い方オラクルエンジニア通信
 
Amazon Cognito Deep Dive @ JAWS DAYS 2016
Amazon Cognito Deep Dive @ JAWS DAYS 2016Amazon Cognito Deep Dive @ JAWS DAYS 2016
Amazon Cognito Deep Dive @ JAWS DAYS 2016akitsukada
 
セキュア・アーキテクティング入門 (クラウド) 2020年4月13日
セキュア・アーキテクティング入門 (クラウド) 2020年4月13日セキュア・アーキテクティング入門 (クラウド) 2020年4月13日
セキュア・アーキテクティング入門 (クラウド) 2020年4月13日Masanori KAMAYAMA
 
Infomation Card と Windows CardSpace のご紹介
Infomation Card と Windows CardSpace のご紹介Infomation Card と Windows CardSpace のご紹介
Infomation Card と Windows CardSpace のご紹介shigeya
 
2018 1103 jaws_festa_2018_f-secure_slideshare
2018 1103 jaws_festa_2018_f-secure_slideshare2018 1103 jaws_festa_2018_f-secure_slideshare
2018 1103 jaws_festa_2018_f-secure_slideshareShinichiro Kawano
 
ライブコーディングとデモで理解するWebセキュリティの基礎
ライブコーディングとデモで理解するWebセキュリティの基礎ライブコーディングとデモで理解するWebセキュリティの基礎
ライブコーディングとデモで理解するWebセキュリティの基礎Takahisa Kishiya
 
DXで加速するコンテナ/マイクロサービス/サーバーレス導入とセキュリティ
DXで加速するコンテナ/マイクロサービス/サーバーレス導入とセキュリティDXで加速するコンテナ/マイクロサービス/サーバーレス導入とセキュリティ
DXで加速するコンテナ/マイクロサービス/サーバーレス導入とセキュリティEiji Sasahara, Ph.D., MBA 笹原英司
 
クラウドセキュリティ基礎
クラウドセキュリティ基礎クラウドセキュリティ基礎
クラウドセキュリティ基礎Masahiro NAKAYAMA
 
OSSではじめるオープン・スタンダードのクラウド @201304
OSSではじめるオープン・スタンダードのクラウド @201304OSSではじめるオープン・スタンダードのクラウド @201304
OSSではじめるオープン・スタンダードのクラウド @201304Shinichiro Arai
 
2018 1003 jaws-ug_yokohama_lt_kawano_slideshare
2018 1003 jaws-ug_yokohama_lt_kawano_slideshare2018 1003 jaws-ug_yokohama_lt_kawano_slideshare
2018 1003 jaws-ug_yokohama_lt_kawano_slideshareShinichiro Kawano
 

Ähnlich wie モバイルアプリケーションセキュリティ101 (20)

Monacaエンタープライズのご紹介
Monacaエンタープライズのご紹介Monacaエンタープライズのご紹介
Monacaエンタープライズのご紹介
 
”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)
”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)
”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)
 
SORACOM Conference Discovery 2017 | A1. IoTセキュリティの選択肢
SORACOM Conference Discovery 2017 | A1. IoTセキュリティの選択肢SORACOM Conference Discovery 2017 | A1. IoTセキュリティの選択肢
SORACOM Conference Discovery 2017 | A1. IoTセキュリティの選択肢
 
Androidのセキュア開発について考えてみた(明日、敗訴しないためのセキュアコーディング.ver2)
Androidのセキュア開発について考えてみた(明日、敗訴しないためのセキュアコーディング.ver2)Androidのセキュア開発について考えてみた(明日、敗訴しないためのセキュアコーディング.ver2)
Androidのセキュア開発について考えてみた(明日、敗訴しないためのセキュアコーディング.ver2)
 
Edb summit 2016_20160216.omo
Edb summit 2016_20160216.omoEdb summit 2016_20160216.omo
Edb summit 2016_20160216.omo
 
クロスプラットフォーム開発を可能にするMonaca
クロスプラットフォーム開発を可能にするMonacaクロスプラットフォーム開発を可能にするMonaca
クロスプラットフォーム開発を可能にするMonaca
 
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
 
クロスプラットフォーム開発を可能にするMonacaとそのセキュリティ対策
クロスプラットフォーム開発を可能にするMonacaとそのセキュリティ対策クロスプラットフォーム開発を可能にするMonacaとそのセキュリティ対策
クロスプラットフォーム開発を可能にするMonacaとそのセキュリティ対策
 
SORACOM Technology Camp 2018 | B4. 後手に回りがちなIoTセキュリティをどうすべきなのか
SORACOM Technology Camp 2018 | B4. 後手に回りがちなIoTセキュリティをどうすべきなのかSORACOM Technology Camp 2018 | B4. 後手に回りがちなIoTセキュリティをどうすべきなのか
SORACOM Technology Camp 2018 | B4. 後手に回りがちなIoTセキュリティをどうすべきなのか
 
LG vs. Samsung スマートTV: あなたを追跡できるのはどちら? by イ・サンミン
LG vs. Samsung スマートTV: あなたを追跡できるのはどちら? by イ・サンミンLG vs. Samsung スマートTV: あなたを追跡できるのはどちら? by イ・サンミン
LG vs. Samsung スマートTV: あなたを追跡できるのはどちら? by イ・サンミン
 
あなたはどうデータを守る?クラウド・AI・自動化を使った、みえない脅威との戦い方
あなたはどうデータを守る?クラウド・AI・自動化を使った、みえない脅威との戦い方あなたはどうデータを守る?クラウド・AI・自動化を使った、みえない脅威との戦い方
あなたはどうデータを守る?クラウド・AI・自動化を使った、みえない脅威との戦い方
 
Amazon Cognito Deep Dive @ JAWS DAYS 2016
Amazon Cognito Deep Dive @ JAWS DAYS 2016Amazon Cognito Deep Dive @ JAWS DAYS 2016
Amazon Cognito Deep Dive @ JAWS DAYS 2016
 
セキュア・アーキテクティング入門 (クラウド) 2020年4月13日
セキュア・アーキテクティング入門 (クラウド) 2020年4月13日セキュア・アーキテクティング入門 (クラウド) 2020年4月13日
セキュア・アーキテクティング入門 (クラウド) 2020年4月13日
 
Infomation Card と Windows CardSpace のご紹介
Infomation Card と Windows CardSpace のご紹介Infomation Card と Windows CardSpace のご紹介
Infomation Card と Windows CardSpace のご紹介
 
2018 1103 jaws_festa_2018_f-secure_slideshare
2018 1103 jaws_festa_2018_f-secure_slideshare2018 1103 jaws_festa_2018_f-secure_slideshare
2018 1103 jaws_festa_2018_f-secure_slideshare
 
ライブコーディングとデモで理解するWebセキュリティの基礎
ライブコーディングとデモで理解するWebセキュリティの基礎ライブコーディングとデモで理解するWebセキュリティの基礎
ライブコーディングとデモで理解するWebセキュリティの基礎
 
DXで加速するコンテナ/マイクロサービス/サーバーレス導入とセキュリティ
DXで加速するコンテナ/マイクロサービス/サーバーレス導入とセキュリティDXで加速するコンテナ/マイクロサービス/サーバーレス導入とセキュリティ
DXで加速するコンテナ/マイクロサービス/サーバーレス導入とセキュリティ
 
クラウドセキュリティ基礎
クラウドセキュリティ基礎クラウドセキュリティ基礎
クラウドセキュリティ基礎
 
OSSではじめるオープン・スタンダードのクラウド @201304
OSSではじめるオープン・スタンダードのクラウド @201304OSSではじめるオープン・スタンダードのクラウド @201304
OSSではじめるオープン・スタンダードのクラウド @201304
 
2018 1003 jaws-ug_yokohama_lt_kawano_slideshare
2018 1003 jaws-ug_yokohama_lt_kawano_slideshare2018 1003 jaws-ug_yokohama_lt_kawano_slideshare
2018 1003 jaws-ug_yokohama_lt_kawano_slideshare
 

Kürzlich hochgeladen

新人研修のまとめ 2024/04/12の勉強会で発表されたものです。
新人研修のまとめ 2024/04/12の勉強会で発表されたものです。新人研修のまとめ 2024/04/12の勉強会で発表されたものです。
新人研修のまとめ 2024/04/12の勉強会で発表されたものです。iPride Co., Ltd.
 
スマートフォンを用いた新生児あやし動作の教示システム
スマートフォンを用いた新生児あやし動作の教示システムスマートフォンを用いた新生児あやし動作の教示システム
スマートフォンを用いた新生児あやし動作の教示システムsugiuralab
 
20240412_HCCJP での Windows Server 2025 Active Directory
20240412_HCCJP での Windows Server 2025 Active Directory20240412_HCCJP での Windows Server 2025 Active Directory
20240412_HCCJP での Windows Server 2025 Active Directoryosamut
 
UPWARD_share_company_information_20240415.pdf
UPWARD_share_company_information_20240415.pdfUPWARD_share_company_information_20240415.pdf
UPWARD_share_company_information_20240415.pdffurutsuka
 
Postman LT Fukuoka_Quick Prototype_By Daniel
Postman LT Fukuoka_Quick Prototype_By DanielPostman LT Fukuoka_Quick Prototype_By Daniel
Postman LT Fukuoka_Quick Prototype_By Danieldanielhu54
 
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略Ryo Sasaki
 
Amazon SES を勉強してみる その12024/04/12の勉強会で発表されたものです。
Amazon SES を勉強してみる その12024/04/12の勉強会で発表されたものです。Amazon SES を勉強してみる その12024/04/12の勉強会で発表されたものです。
Amazon SES を勉強してみる その12024/04/12の勉強会で発表されたものです。iPride Co., Ltd.
 
IoT in the era of generative AI, Thanks IoT ALGYAN.pptx
IoT in the era of generative AI, Thanks IoT ALGYAN.pptxIoT in the era of generative AI, Thanks IoT ALGYAN.pptx
IoT in the era of generative AI, Thanks IoT ALGYAN.pptxAtomu Hidaka
 
PHP-Conference-Odawara-2024-04-000000000
PHP-Conference-Odawara-2024-04-000000000PHP-Conference-Odawara-2024-04-000000000
PHP-Conference-Odawara-2024-04-000000000Shota Ito
 

Kürzlich hochgeladen (9)

新人研修のまとめ 2024/04/12の勉強会で発表されたものです。
新人研修のまとめ 2024/04/12の勉強会で発表されたものです。新人研修のまとめ 2024/04/12の勉強会で発表されたものです。
新人研修のまとめ 2024/04/12の勉強会で発表されたものです。
 
スマートフォンを用いた新生児あやし動作の教示システム
スマートフォンを用いた新生児あやし動作の教示システムスマートフォンを用いた新生児あやし動作の教示システム
スマートフォンを用いた新生児あやし動作の教示システム
 
20240412_HCCJP での Windows Server 2025 Active Directory
20240412_HCCJP での Windows Server 2025 Active Directory20240412_HCCJP での Windows Server 2025 Active Directory
20240412_HCCJP での Windows Server 2025 Active Directory
 
UPWARD_share_company_information_20240415.pdf
UPWARD_share_company_information_20240415.pdfUPWARD_share_company_information_20240415.pdf
UPWARD_share_company_information_20240415.pdf
 
Postman LT Fukuoka_Quick Prototype_By Daniel
Postman LT Fukuoka_Quick Prototype_By DanielPostman LT Fukuoka_Quick Prototype_By Daniel
Postman LT Fukuoka_Quick Prototype_By Daniel
 
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
 
Amazon SES を勉強してみる その12024/04/12の勉強会で発表されたものです。
Amazon SES を勉強してみる その12024/04/12の勉強会で発表されたものです。Amazon SES を勉強してみる その12024/04/12の勉強会で発表されたものです。
Amazon SES を勉強してみる その12024/04/12の勉強会で発表されたものです。
 
IoT in the era of generative AI, Thanks IoT ALGYAN.pptx
IoT in the era of generative AI, Thanks IoT ALGYAN.pptxIoT in the era of generative AI, Thanks IoT ALGYAN.pptx
IoT in the era of generative AI, Thanks IoT ALGYAN.pptx
 
PHP-Conference-Odawara-2024-04-000000000
PHP-Conference-Odawara-2024-04-000000000PHP-Conference-Odawara-2024-04-000000000
PHP-Conference-Odawara-2024-04-000000000
 

モバイルアプリケーションセキュリティ101

  • 1. モバイルアプリケーション セキュリティ101 Security Assurance Group, System Security Oiffice, DU, Rakuten, Inc. Tokuji Akamine, Chris Liu
  • 2. 自己紹介 •  Tokuji Akamine 赤嶺徳治 @tokujia OWASP Japan アドバイザリボードメンバ セキュリティアシュアランスグループマネージャ リードセキュリティエンジニア 楽天レッドチームメンバ •  Chris Liu シニアセキュリティエンジニア 楽天レッドチームメンバ 2
  • 3. アジェンダ •  スマートデバイスの成長 •  OWASPモバイルセキュリティプロジェクト •  モバイルアプリ開発におけるセキュリティ的課題 •  OWASPモバイルトップ10リスク •  OWASPモバイルトップ10コントロール
  • 4. スマートデバイスの成長 •  Nearly 1 Billion Smart Connected Devices Shipped in 2011 with Shipments Expected to Double by 2016, According to IDC Source: IDC http://www.idc.com/getdoc.jsp?containerId=prUS23398412
  • 5. モバイルアプリ開発におけるセキュリティ的課題 •  デバイスの盗難、紛失リスクが高い •  容易にROOT化、脱獄が可能 •  プラットフォーム、デバイスごとに異なる機能 •  パッチ、アップデートが困難 •  スクリーンが狭い •  キー入力の困難性 etc. 5
  • 6. OWASPモバイルセキュリティプロジェクト • OWASP Mobile Security Project https://www.owasp.org/index.php/OWASP_Mobile_Security_Project “The OWASP Mobile Security Project is a centralized resource intended to give developers and security teams the resources they need to build and maintain secure mobile applications.”
  • 7. OWASPトップ10モバイルリスク(v1.0候補)   1.  脆弱なデータストレージ 2.  脆弱なサーバサイドコントロール 3.  不完全なトランスポート層の保護 4.  クライアントサイドインジェクション 5.  脆弱な認証、認可 6.  不適切なセッション管理 7.  信頼できない入力によるセキュリティ判断 8.  サイドチャネルデータ漏洩 9.  脆弱な暗号 10. 機密情報の漏洩
  • 8. OWASPトップ10モバイルコントロール   1. モバイルデバイス上の機密データの識別と保護 2. デバイス上のパスワードクレデンシャルの安全な管理 3. 送信時における機密データの保護 4. 適切なユーザ認証/認可およびセッション管理の実装 5. バックエンドAPIとサーバプラットフォームの継続的堅牢化 6. サードパーティサービス/アプリケーションとのセキュアなデータ連携 7. ユーザデータの収集と使用に対する承諾の収集、保存への注意 8. 有料リソース(電子ウォレット、SMS、通話等)に対する権限のないアクセ スを防止する対策の実装 9. モバイルアプリケーションのセキュアなディストリビューション/プロビジョ ニング 10. コードのランタイムインタプリテーションのエラー確認 日本語訳: https://docs.google.com/document/d/1QOWOrsAo-33bHLdAZksKa4F_8_A_6XndoDF6ri4na_k/edit?pli=1
  • 9. 1.  モバイルデバイス上の機密データの識別と保護   •  機密データはクライアントエンドデバイスではなくサーバに保存する。 •  もし暗号化されていないのであれば機密データを保存/キャッシュしない。 •  共有ストレージは信頼できないものと見なす。情報は共有ストレージから 想定していない方法で容易に漏洩する可能性がある。 例: - ワールドリーダブルファイル(Android) fos = openFileOutput(“secret.txt", Context.MODE_WORLD_READABLE); - スクリーンショットキャッシュ (iOS) /var/mobile/Library/Caches/Snapshots/myapp/ UIApplicationAutomaticSnapshotDefault-Portrait@2x.jpg ケーススタディ: - Skype Information Leakage due to file http://www.androidpolice.com/2011/04/14/exclusive-vulnerability-in-skype- for-android-is-exposing-your-name-phone-number-chat-logs-and-a-lot-more/
  • 10. 2.  デバイス上のパスワードクレデンシャルの安全な管理   •  パスワードを使用する代わりに、デバイス上に長期間安全に保存できる 認可トークンの使用を検討する。 •  パスワードおよびキーがキャッシュまたはログに出力されていないか確 認する。 •  SMSはセキュアチャネルではなく、機密情報を送信する上で信頼するこ とはできない。 例: - Shared Preferences、KeyChainへのパスワードの保存 ROOT化、脱獄化により奪取可能。→デモ1 ケーススタディ: - Facebook, Dropbox Security Hole http://www.mobileusers.com/2012/04/06/iphone-and-android-facebook- app-security-hole-gives-green-light-to-identity-theft/ - Discovering a Major Security Hole in Facebook's Android SDK http://blog.parse.com/2012/04/10/discovering-a-major-security-hole-in- facebooks-android-sdk/
  • 11. 3.  送信時における機密データの保護   •  機密情報を無線/有線にて送信するときには、アプリケーションは(SSL/ TLSのような)エンドツーエンドの安全な通信チャネルの使用を強制する べきである。 •  強度の高い暗号化アルゴリズムとキー長の使用を強制する。署名されて いない証明書を許可せず、信頼できる認証局のみを許可する。SSL接 続検証を無効または無視しない。 例: - 不適切なSSL接続検証 - 機密データの平文での送信 ケーススタディ: - LinkedIn Privacy Issue http://blog.skycure.com/2012/06/linkedout-linkedin-privacy- issue.html - Nordea mobile bank app MITM attack http://www.encripto.no/forskning/whitepapers/ Nordea_mobilbank_android_multiple_vulnerabilities.pdf
  • 12. 4.  適切なユーザ認証/認可およびセッション管理の実装   •  適切な強度のユーザ認証をアプリケーションに求める。初回の登録時に パスワード強度に関してフィードバックを提供することは有用かもしれない。 •  最初の認証後、セッション管理を適切に実施することは重要である。認証 クレデンシャルまたはトークンの送信を後続のリクエストに対しても要求 する。 •  エントロピーが高く推測不可能なセッション識別子を使用する。 •  (デバイス識別子よりも)エンドユーザの識別子に紐付いた認証を使用する。 例: - 脆弱なクライアントサイド認証 →デモ2 ケーススタディ: - Linking UDIDs to OpenFeint user accounts https://api.openfeint.com/users/for_device.xml?udid=XXX http://corte.si/posts/security/openfeint-udid-deanonymization/ index.html
  • 13. 5.  バックエンドAPI(サービス)と   プラットフォーム(サーバ)の継続的堅牢化   •  OS、Webサービスおよびその他のアプリケーションコンポーネントに対し て最新のセキュリティパッチを適用した堅牢な設定で、バックエンドプラッ トフォーム(サーバ)を稼働させる。 •  Webサービス、RESTおよびAPIはWebアプリケーションと同様の脆弱性 を持つ。脆弱性が存在するか確認するためにバックエンドのWebサー ビス、REST、およびAPIへのテストを実施する。ユースケーステストに加 えて不正なケーステストを実施する。 例: - 通常のWebアプリケーションやWebサービスの脆弱性 (XSS、SQLインジェクション等)
  • 14. 6.  サードパーティサービス/アプリケーション   とのセキュアなデータ連携   •  モバイルアプリケーションが使用するサードパーティコード/ライブラリの 安全性/信頼性を入念に検査する。 •  モバイルアプリケーションにて使用されている全てのサードパーティフレ ームワーク/APIに対するセキュリティパッチに関してトラックする。 •  信頼できないサードパーティアプリとの送受信データをアプリケーション 内で使用する前に、検証に特別な注意を払う。 例: - 広告用API による情報漏洩 - NDKによるC言語の脆弱性 ケーススタディ: - アップログ http://matome.naver.jp/odai/2131778619234854901 ※利用者情報を、本人に明示しないまま集めていた問題
  • 15. 7.  ユーザデータの収集と使用に対する承諾の   収集.保存への注意   •  個人データを使用に関するプライパシーポリシーを作成し、特に承諾の 判断を行うときにユーザが確認できるようにする。 •  アプリケーションがPIIを収集していないか確認する。 •  PIIの送信に対する承諾記録をユーザが確認できるようにする。 例: - 不必要なパーミッションの要求(Android) - PII Transfer ケーススタディ: - LinkedIn、カレログ、Angry Bird、the Movie、Path、etc. - What They Know by WSJ http://blogs.wsj.com/wtk-mobile/ - Unauthorized iPhone And iPad Apps Leak Private Data Less Often Than Approved Ones http://www.forbes.com/sites/andygreenberg/2012/02/14/unauthorized- iphone-and-ipad-apps-leak-private-data-less-often-than-approved-ones/
  • 16. 8.  有料リソースに対する権限のない   アクセスを防止する対策の実装   •  有料リソースへのアクセスログを否認不能な形式で保存し、エンドユーザが確認 できるようにする。権限のないアクセスからログを保護する。 •  有料リソースの異常な使用パターンを確認し、再認証を要求する。 •  有料リソースに対する全てのAPIコールを認証する。 •  ウォレットAPIコールバックが平文でアカウント/料金/支払いまたは商品情報 を送信しないようにする。 例: - Android exported属性 →デモ3 - デバイス内での購入状況管理 ケーススタディ: - Crack In-App Purchase in iOS with iAP Cracker http://jailbreakstory.com/2011/09/crack-in-app-purchases-in-ios-with- iap-cracker/
  • 17. 9.  モバイルアプリケーションのセキュアな   ディストリビューション/プロビジョニング   •  アップストアによる承認のための要求事項とそれによる遅延を考慮に入れ、アプ リケーションはセキュリティパッチのためにアップデートを行うことを許可するよう 設計され、提供されなければならない。 •  リモートキル機能の提供 •  フィードバックチャネル
  • 18. 10.  コードのランタイムインタプリテーションのエラー確認   •  ランタイムインタプリテーションとランタイムインタプリタに提供される機能を最小 限にする。 •  最小権限でインタプリタを実行する。 •  インタープリタに対するファズテスト •  コードがインタプリットするのがいつもテキストとは限らないことを注意する。 例: - クラッシュ分析 /data/tombstones/ (Android)
  Xcode – Organizer – Device Logs(iOS) - ファジングテスト  Monkey: ユーザ行為のファジング
  • 19. リファレンス •  OWASP Mobile Security Project https://www.owasp.org/index.php/OWASP_Mobile_Security_Project •  iOS Developer Library Secure Coding Guide http://developer.apple.com/library/ios/#DOCUMENTATION/Security/Conceptual/ SecureCodingGuide/Introduction.html https://developer.apple.com/library/mac/documentation/security/conceptual/ SecureCodingGuide/SecureCodingGuide.pdf •  iOS Security released by Apple on May 2012 http://images.apple.com/ipad/business/docs/iOS_Security_May12.pdf •  Iphone data protection tools http://code.google.com/p/iphone-dataprotection/ •  class-dump-z http://code.google.com/p/networkpx/wiki/class_dump_z •  Cycript http://www.cycript.org/ •  Hacking and Securing iOS Applications by Jonathan Zdziarski •  iOS Hacker's Handbook by Charlie Miller, Dino DaiZovi, and others •  Smart Phone Security: How (Not) To Summon The Devil http://crypto.hyperlink.cz/files/rosa_scforum12_v1.pdf •  Seven Ways to Hang Yourself with Google Android http://crypto.hyperlink.cz/files/rosa_scforum12_v1.pdf •  Android Developers Designing for Security http://developer.android.com/guide/practices/security.html 19