SwissBorgのウェルスアプリがペンテストをクリアしたというイメージ画像

 

こんにちは、ハッシュ(@e_hash104)です。

今回は、少し前にスイスボーグから公表されたウェルスアプリに対するセキュリティチェック(ペンテスト)の結果について出されたレポートについて解説しておこうと思います。

あまり需要も無さそうだし、読むだけなら簡単だから読むだけにしようと思ったのですが、このブログを始めた時の意義を考えるとスルーできず…。

結局、がんばってみましたw

一人でも、役に立ったと思ってもらえたら嬉しいです。

 

そもそもペンテストとは?

penetration testing イメージ画像

ペンテスト(Penetration test)とは、アプリの脆弱性をあぶり出す作業のことです。単純に脆弱性の特定だけで終わらず、悪意のある攻撃者役としてホワイトハッカーが充てられ、実際にシステムへの侵入を試みてもらうというものです。

それに加えて、アプリ利用者側のミスによって引き起こされる問題についても、そのリスクを評価しているのも面白いです。

単なる脆弱性テストよりももう一段踏み込んだテストと言えます。よって費用も高価なものが多く、数千万レベルのペンテストも珍しくありません。ですから、こういうコストをしっかりとかけてでも、安全性を追求している証拠とも言えますね。

さすがスイスボーグです。アプリの安全性はSwissBorgの生命線ですからね!

ちなみに、「スイスボーグのウェルスアプリは、高いセキュリティレベルを有している」と評価されたようです。

 

ペンテストを行ったSCRTという会社

スイスボーグのウェルスアプリに対し、実際にペンテストを行った会社は以下の会社です。

SCRT S.A https://www.scrt.ch

2002年にスイスにて設立された会社で、本部を含め他3つのオフィスをスイス国内に構えているようです。従業員数も「50人〜200人」というカテゴリに入れられているようです。LinkedIn上では76人となっていましたが、この数値にはパートタイムの人も含まれているようです。まぁ、目安程度に。

LinkedInによる情報では非上場企業となっていて、不思議だなぁと思いました。法人格は別にして、ISO27001も取得しているしっかりとした情報セキュリティ会社なのは間違いないようです。

 

スイスボーグの安全に対するアプローチ

Secure Enclaveのイメージ画像

現在のスマホにおいて、パスワードや情報を暗号化して高度なセキュリティを可能にしているのがSecure Enclaveと呼ばれるものです。メインプロセッサやクラウドからも独立し、内部データも乱数を用いて暗号化されているのでセキュリティがとても高いです。

TouchIDなどの情報やクレジットカード情報などもこのSecure Enclaveに暗号化されて保管されているわけです。このSecure Enclaveのおかげで、より洗練された安全性を享受できているというわけです。

そんな高性能で安全性も向上したスマホについて、より安全性能を高める手段として2FAが取り上げられることが多いです。

ですが、これは少しナンセンスだと考えています。というのも、スマホアプリの場合、Google Authenticatorのような2FAアプリをインストールした所で、悪意を持った第三者の手に物理的にスマホが渡ってしまった場合、ロック解除して操作できるようになってしまえさえすれば、2FAアプリがあってもなくても変わらないからです。

ブラウザでログインしていて、スマホで2FAをするというのならば2FAの有効性はわかりますけどね。スマホでは意味を成さないと考えています。

ただし例外として、2つのスマホを併用しているユーザーに対する2FAの導入、もしくは1Passwordのような特別なアプリを使用しているユーザーに対する導入に関しては、将来的にはその可能性も模索しています。

ただ、現時点ではユーザー全般のセキュリティ改善を最優先しているというだけです。

 

SwissBorgウェルスアプリのペンテストについて

既にお話したとおり、ペンテストは実際のサイバー攻撃をシミュレーションして、その脆弱性をチェックするというものですが、スイスボーグの場合は悪意を持った第三者がどれだけ容易にユーザーのアカウントを不正利用出来てしまうかという点をテストしてもらっています。

このペンテストは、iOSとAndroidの両OSに対して8日間にわたり行われたものです。

ウェルスアプリは見事このペンテストに合格しました!しかも、「致命的な脆弱性のある」もしくは「脆弱性の高い」といった項目に該当する脆弱性は見当たらなく、パスワードもしくはタッチIDなどで保護されたデバイスに対してはいかなる重要なセキュリティ項目をも問題無くクリアしました。

以下が、その項目の詳細となります。

  • アプリ内でランダムなコードを実行する
  • 他のアプリからウェルスアプリ内のファイルにアクセス又は変更を加える
  • バックエンドでランダムなコマンドを実行する
  • アプリを実行する過程を乗っ取る
  • ローカルの認証をせずに(避けて)、ユーザーのアカウントにアクセスする
  • 保護されていないスマホで機密情報を抜き取る

上述の項目の中で、マイナーな脆弱性が4つ見つかり、そのうちの2つは既に処理しています。

残りの2つの脆弱性に関しては、悪意のある第三者が物理的にユーザーのスマホを手にし、デバイスのセキュリティを回避してアクセスした場合にのみ起こりうるものです。

 

ユーザーができるセキュリティを上げる方法

スマホIDチェックイメージ画像

スイスボーグのウェルスアプリがセキュリティ面で高い安全性を示した一方で、ユーザーが自分の資産やデータを守り、向上させることができる方法がいくつかあるのでこのあと紹介します。

  1. スマホ自体をしっかりとパスワードやタッチIDで不正アクセスから守ること
  2. 信頼の置けないメールのリンクはクリックしない。更に、メルアドを再度チェックして、実際の送り主のものと一致しているかどうか確かめること
  3. 個人情報を決して誰にも教えないこと。電話・メール・SNSを通じて誰かがコンタクトを取ってきたとしても、秘密鍵やリカバリーフレーズ、銀行やクレジットカード情報を絶対に教えないこと
  4. いかにも本当のように聞こえ、上手すぎる話をしてきたら、それはおそらく詐欺です。直ぐに行動するように求められた場合、慌てずに家族や友だち、ファイナンシャルアドバイザーなどに相談する機会を設けること

 

以上となります。

SwissBorgのセキュリティに対する真摯な姿勢が垣間見られる内容だったのではないでしょうか?

更なるペンテストの詳細結果を知りたい方は、英文になりますが以下のリンクからご確認ください。

https://swissborg-website.cdn.prismic.io/swissborg-website/0cca1253-a7f6-4697-8e40-2ff71431b86b_P013404-REPO_SwissBorg_mobile_public_version.pdf

 

これからもスイスボーグには安全性をどこまでも追求していって欲しいですね🎵

 

 

 

Twitterでハッシュ(@e_hash104)をフォローしよう

おすすめの記事