KDL BLOG
アプリを安全に使うには?
玉置 慎一(以下 玉置)
昨今、パソコンを無防備に使う人はあんまりいませんよね。でもスマホは自分で選んだ自分のもので、いつでもどこでも自分の使いたいようにゲームやSNSなどを楽しめる。でも、セキュリティの観点ではどうしたらいいか、あまりアドバイスを目にしないですよね。アプリ選び、とかですか。
岡田 良太郎(以下 岡田)アプリ選びはね、まあ、どうでもいいんですよ(笑)
玉置のっけからそんなこと言っちゃっていいんですか(笑)
岡田誤解を恐れずに言えば、不正なアプリを排除するのは、GoogleやAppleの仕事ですから。それに、子供さんのアプリ選びを見守るのは親御さんの見極めが大事。ほら、この問題は別次元なんですよ。それはそれで大事なので、オーダーがあればまた別の時に話しましょう。ここではむしろ、ユーザとして、「スマホを安全に使うには、どうしたらいいか」ということを、しっかり考えて欲しいですね。
玉置アップデート、とかですか。
岡田正解。NHKのチコちゃんに「つまんない」と言われるやつですけど(笑)、ずばりそのとおりなんです。
玉置当ててしまった(笑)確かに、スマホは毎年メジャーバージョンアップがあるので、一年以上ほったらかしにしても安全、ということは原理的にありえないですからね。
岡田さすがシステム視点ですね。
でも、ちゃんとアップデートしてるって自信を持って言える人はそんなに多くないでしょうね。アプリのアップデート情報を放置している人に、「危ないですよ!アップデートしてね!」って言って回るわけにはいかないじゃないですか(笑)そういう背景からか、最近の機種は自動アップデート機能がありますよね。
岡田悩ましいのは、スマホの普及とともに、パソコンもなくなってたりして、自宅のインターネットとかWi-Fiとかがない人も出てきていますよね。キャリアの通信だけでアプリのアップデートをすると「ギガ」ががっつり減るんですよ。それで、わざわざ自動アップデートをオフにしたりしていて。
玉置そういえば、iPhoneのソフトウエアアップデートの初期設定は「Wi-Fi環境に繋がっていて、しかも充電している状態」ですね。これは通信キャリア側への配慮もあるんでしょう。しかしこれでは、自宅にネット環境が無い人はとうていアップデートできないですよね。知らずに(もしくは無視して)アップデートをしないままスマホを使い続けることになりますよね。
岡田市民向けにスマホ・アップデートスペースでも作りますか(笑)
玉置それも大変そうですが(笑)ともかく、安全な方法でアップデートをまめに行うには、それなりに利用者側の決意が必要だということですね。
SMSのフィッシング詐欺
岡田
ユーザ自身ができる対策について話してきましたが、スマホ=個人なので、サイバー攻撃対象としては格好の標的なんですよね。
玉置パソコンに届くメールや初めてのサイトを開くときは警戒しても、スマホにくるメッセージはついつい安易に開いてしまいがちです。リンクを開くにしても、パソコンでは「マウスオーバー」で事前にURLを見られますが、スマホでは、タップするしかない。アドレスバーも見にくいですしね。ちょっと指が当たったら、ページ遷移していることもあります。知らないうちに仕込まれた攻撃を踏んでいる可能性はあるでしょうね。
岡田
そう、今増えているのが、メッセージ関連で、「スミッシング」と名付けられていますね。大手配送業者や大手銀行、大手通販企業に成りすましたメッセージがSMSに届きアクセスしてしまうことで、個人情報やID・パスワードを盗み取られるという、フィッシング詐欺です。身に覚えのない買い物をされる、ポイントを勝手に使われるなどの実害があります。被害額は国内だけで年間30億円にも上るという報告もあるんですよ。
玉置それはビッグビジネスですよね。
岡田そうなんです。ブラウザで買い物や送金といった重要な取引をするのも当たり前になってきましたからね。よくある、鍵マークのあるサイトは信頼できる、なんて嘘ですしね。「https://」なサイトだからといって、あれは暗号化されているというだけの印で、信憑性を確認する手段ではないですから。専用の公式アプリから利用すれば、少なくともスミッシングに引っかかるリスクは低くはなりますね。
玉置そうですか・・・。システム提供サイドからは、なかなか難しい課題です。どうすればもっとオフィシャルアプリ、オフィシャルサイトを認識してもらえるのかな・・(悩)どこの企業も、オフィシャルアプリへの啓発に力を入れていますね。SMS送信にもコストがかかるので、攻撃する側もビジネス効果というか、費用対効果を考えるでしょう。攻撃サイドは、集めたパーソナルデータを売り買いしていますよね。これからもっと巧妙になってくるのでしょうね。
岡田コンテンツブロッカーで対応していけたらいいんですけどね。ともかく、現時点ではスミッシングリスクなどを含め、スマホの安全な利用のリテラシーを高めていくことは、地道ですが手を抜けないです。一般の方々だけでなく、システムの提供サイドからのセキュリティ啓発の内容も、きっちりアップデートして行かないといけない。
玉置本当ですね。
オフィシャルアプリを使おう
岡田
玉置さん、KDLはシステムの専門企業として、ユーザに安心してアプリをダウンロードしてもらえるように行っていることはありますか。あるいは顧客にご提案していることなど、どうでしょうか。
玉置アプリ制作者欄が小文字のアルファベットだけ、アプリのロゴマークが作りこまれていないといったアプリがたくさんある中で、信頼性を演出することは重要です。
アプリができたことを公式サイトやSNSなどで発信される際、それを見たユーザが迷わず「これだ!」とたどり着けるようなデザインや、情報提供には気を配っています。例えば、オフィシャルサイトから誘導することや、ユーザがアプリを選んで、ダウンロードする段階まで迷わないようにすることなどは、基本ですが重要なこととして意識しています。
岡田
開発の技術面ではどうですか。
玉置アプリのリスクはいろいろありますけど、通信の傍受とか、ストレージの改ざんとかが怖いですね。スマホとサーバ間の通信やストレージを暗号化することは必要。そして、アプリの裏方、つまりサーバでのAPIですね。KDLにはスマホアプリに関連するセキュリティ診断を行うチームがありますから、協力体制を組んでいます。
岡田アプリ開発も、セキュリティ診断も、アップデート対応が大変だということですね。
玉置だから、利用するユーザの皆さんにも、しっかりアップデートしていただきたいわけです!
あとがきと裏話
広報の大野です。始まりました、対談ブログ!皆様どうぞよろしくお願いいたします!
KDLは兵庫県、岡田さんは東京勤務が多いので、今回の対談はWEB会議で行いました。ところで皆様、WEB会議って相手にちゃんと聞き取ってもらえるようにと思って普段の会議よりも声が大きくなりませんか?その中で岡田さん、玉置さんは「これはブログに書けないけど」「これ載せたら僕の首が飛んでいく」といったオフレコ話も大きな声で話すので、聞き取りやすい分ありがたいのですが、横の会議室へ漏えいしないかびくびくしながら必死にメモを取りました(笑)
笑いありの対談なのですが、技術の話になると真剣そのもの。ITのお話しって分かりやすく文章に起こそうとするとどんどん長くなっていくんですよね。。例にもれず広報が起こした長い文章は読みづらく・・試行錯誤を重ねました。日々勉強、KDL広報頑張ります!
対談では、便利だからと何でもスマホで済ませるのは様々な危険があることが分かりました。ユーザ自身ができる(というか、しなければならない)対策はたくさんあります。このブログが皆さまのお役に立つことを願っております。不定期更新の予定ですが、次回もお楽しみに!
執筆:大野 陽子
広報室
