Table of Contents

iOS および Android SDK による検出と対応

銀行業務や仕事などの機密取引にモバイル デバイスが使用される機会が増えるにつれて、モバイル デバイス詐欺の脅威が大幅に増加し、モバイル デバイス上の正当なユーザーと詐欺ユーザーを区別するための高度な検出方法の使用が必要になっています。このシリーズの前回のブログでは、モバイル詐欺の脅威の増大、攻撃方法、モバイル詐欺の検出を改善するためのネイティブ SDK の利点について説明しました。このニーズを満たすために、Transmit Security は iOS と Android の両方のアプリケーション用のネイティブ検出および応答 SDK を開発しました。これにより、大量のデバイス メタデータを取得して、モバイル アプリケーションやデバイスを標的としたさまざまなデバイス操作を使用する詐欺師と正当なユーザーをさらに区別できるようになります。このブログシリーズの第1部では、 モバイルネイティブ検出のユースケース。モバイル ネイティブ検出シリーズの 2 回目のブログ投稿では、アプリの複製、プロキシと VPN、デバイスのルート化、モバイル エミュレーターの使用など、新たな不正手法を検出するために iOS および Android SDK を使用する方法について概要を説明します。

ネイティブAndroidおよびiOS SDKの必要性

iOS、Android、Web テクノロジーの違いにより、iOS、Android、Web アプリケーションを構築、テスト、管理し、新しい OS やデバイスがリリースされるたびにそれらを更新し続けるには、別々のチームが必要になることがよくあります。これにより、開発と保守の作業が実質的に 3 倍になり、スキルのギャップにより埋めるのが難しい専門知識が必要になります。Web、Android、iOS SDK を提供するベンダーは、特定のプラットフォームと互換性のある事前構築された機能と、最新の OS と個別のドキュメントで動作する継続的な更新により、サービスの統合と保守に必要な複雑さと時間を簡素化します。モバイル詐欺に関しては、検出と対応に影響を与える iOS と Android のエコシステム間の主な違いは次のとおりです。

  • クローズド エコシステムとオープン エコシステム: iOS はクローズド エコシステムですが、Android はオープン ソースであるため、攻撃に対して脆弱になる可能性があります。
  • モデルと構成: Android デバイスには幅広いデバイス モデルと構成があり、一部のデバイス メーカーは追加のセキュリティ機能を提供していますが、iOS デバイスはより均一な構成とモデルであるため、信頼できるデバイスを識別するための永続的なデバイス フィンガープリントを維持することが困難になる可能性があります。さらに、Apple は iOS デバイスの永続的な識別子に関してより厳しい制限を課しています。また、iOS デバイスでは Android に比べて利用できるデータ ポイントが少なく、複雑さも少ないため、スクリプトやテストを実行してより多くの情報を取得する機能が制限されます。
  • サードパーティ アプリのインストール: Android ユーザーは設定を変更してサードパーティのアプリ ストアからのインストールを許可できますが、iOS デバイスではそれが困難です。

アプリのクローン

アプリのクローン作成とは、同じデバイス上でアプリの複数のインスタンスを実行する行為であり、これにより詐欺師は並行して攻撃を実行したり、単一のデバイスを使用して複数のデバイスから発生しているように見える分散攻撃を実行したりできるようになります。サンドボックスとは、アプリケーションが他のアプリケーションに影響を与えずに実行できる独立した環境のことです。サンドボックスを作成することで、攻撃者は異なるパラメータや構成で複数のアプリインスタンスを実行したり、元のアプリとクローンされたアプリで異なる環境変数を使用できるようになるため、デバイスフィンガープリントなどのセキュリティ対策を低下させたりすることもできます。アプリのクローンを検出するために、当社の研究者は、Samsung の「Secret Folder」などのネイティブ アプリケーションや、「Dual Space」などの iOS 向けサードパーティ アプリを含むさまざまなアプリを調査およびインストールし、それらのアプリで SDK を実行して、生の検出データ ポイントの異常を検索しました。iPhone では、ジェイルブレイクされたデバイス上で外部アプリなしでアプリを複製することも可能です。この情報により、SDK を実行するクローン アプリとサンドボックス アプリの使用を検出し、分離することができました。

ネットワークの不一致

Android および iOS SDK を介して収集できる追加データ ポイントの一部として、ネットワーク オペレーター、SIM コード、ネットワーク名、国コードなど、デバイスのセルラー ネットワークに関する情報を受け取ります。このデータと外部のエンリッチメント サービスを使用することで、受信した情報とエンリッチメントされた情報の間の不一致を探すことができます。たとえば、SDK から取得したオペレータの国コードとエンリッチメント サービスの対応する国コードを比較したり、モバイル ネットワーク データをエンリッチメントされた IP データと比較したりすることができます。この情報を比較することで、不正なデバイス操作を示唆する異常を検出できます。

ルート化およびジェイルブレイクされたデバイス

ルート化とは、デバイスの Android オペレーティング システム コードへのルート アクセスを取得できるようにするプロセスです。Android デバイスのルート化は、システム設定をカスタマイズする正当な目的で使用される可能性がありますが (まれであり、熟練したユーザーのみ)、ルート化されたデバイスは、詐欺師がデバイスのソフトウェア コードを変更したり、通常はセキュリティ上の理由でメーカーがブロックするその他のソフトウェアをインストールしたりできるため、リスクが高いと考えられています。iOS デバイスでのルート化に相当する用語は、ジェイルブレイクです。Android デバイスは高度にカスタマイズ可能ですが、iOS デバイスはジェイルブレイクしない限りカスタマイズが制限されます。一部の Android メーカーはデバイスのルート化を許可しているが、Apple はデバイスのハードウェアまたはソフトウェアの脆弱性を悪用する必要があるジェイルブレイクを防止する措置を講じている。ルート化されたデバイスとジェイルブレイクされたデバイスはどちらも、本来は保護されているはずのデバイスの一部が公開され、デバイスがマルウェアに対してより脆弱になるため、重大なセキュリティ リスクを伴います。そのため、ルート化およびジェイルブレイクされたデバイスの検出は、リスクと詐欺の軽減に不可欠です。Transmit Security では、さまざまなテストを使用してルート検出を実行し、オペレーティング システムでの処理を示す特定のデバイス メタデータを検索します。これらのインジケーターには、クリーンなデバイスにはインストールされない特定のアプリや悪意のあるパスや権限が含まれる場合があります。

センサーによるエミュレータとシミュレータの検出

モバイル エミュレーターは、以下に示すように、モバイル デバイスのハードウェアおよびソフトウェア環境をシミュレートするために PC にインストールされるソフトウェア ツールです。

モバイルエミュレーターによる攻撃のGIF画像

エミュレーターはゲームやモバイルアプリの開発やテストなどの正当な目的に使用できますが、 詐欺師はモバイルエミュレーターを利用するケースが増えている 正規または信頼できるデバイスを装ってセキュリティ対策をテストし、回避します。エミュレーターは Android デバイスでは広く利用可能ですが、Apple は公式 App Store でビデオ エミュレーターを許可していないため、iOS デバイスでは一般的ではなく、インストールが困難になっています。ただし、モバイル シミュレーターを使用して仮想デバイス上でアプリをテストするために、iOS デバイスをジェイルブレイクせずにエミュレーターを実行することは可能です。シミュレーターはエミュレーターに似ており、PC にインストールされて、アプリが実行される完全なソフトウェア環境を、そのすべての構成と変数を含めて複製します。ただし、エミュレーターのようにハードウェア機能は複製しません。また、Android デバイスと比較して、iOS デバイスではエミュレーターやシミュレーターを検出するのが難しい場合もあります。これは、iOS シミュレーターはソフトウェアの動作とパフォーマンスの点で物理的な iOS デバイスとほぼ同じになるように設計されているのに対し、Android エミュレーターは Android デバイスのメーカーやカスタマイズが多岐にわたるため、動作とパフォーマンスに明確な違いがあることが多いためです。弊社の Detection and Response Web SDK によって有効化される Android エミュレーター検出に加えて、モバイル SDK を使用すると、タッチ圧力、スワイプ パターン、入力速度などのデバイスのセンサー情報を取得できるため、エミュレーター検出が可能になります。Android デバイスでのエミュレータの使用を検出するために、Android Studio などの標準的な開発者エミュレータから、ゲーム業界で使用されているアフターマーケットのエミュレータまで、さまざまなエミュレータで SDK を実行しました。iOS デバイスでの検出では、ファイル パス、ランタイム パラメーター、ストレージやメモリなどの使用可能なリソースなど、オペレーティング システム環境の特定のパラメーターをチェックします。これらのプロセスを通じて、モバイル エミュレーターまたはシミュレーターが使用されているかどうかを高い信頼性で判断できる特定のパターンを認識することができます。

Transmit Security による検出と対応の改善

Transmit Security の iOS および Android 向け検出および対応モバイル SDK は、正当なユーザーと、アプリの複製、ネットワーク回避戦術、デバイスのルート化、エミュレーターを使用してセキュリティ対策を回避する詐欺師を区別する追加のデバイス メタデータを取得することで、詐欺の防止に役立ちます。リスク、信頼、詐欺、ボット、行動検出のためのモバイルSDKの詳細については、こちらをご覧ください。 ドキュメント または当社の 当社の検出および対応サービスに関するサービス概要 それがあなたのビジネスにどのような利益をもたらすかを発見してください。

Authors