今回の解説ニュース

インシデント概要

今回のインシデントは、公式アプリの顧客情報の一部が漏えいしたというものです。

インシデントへの対策

対策として、しかるべき行政機関への報告及び連携を行っており、対象者へ個別に謝罪と案内を送付しています。

再発防止策

再発防止策として、セキュリティ体制の一層の強化を図るということです。

文字の選択やコピーができないPDFファイルを作成するセキュリティ上の意味

文字をコピーできないPDFで情報を公開する理由として、オリジナルの文章や図表を無断で利用されることを防ぎ、著作権を保護するためであったり、情報が意図的に変更されることを防ぎ、情報の正確性を保つためであったりすることが考えられます。しかし、スキャン画像から作成されたPDFの場合、OCRソフトを使用してテキスト化することで、文字のコピーが可能になる場合がありますので、PDFを作成した人の意図した対策にはなっていない場合があります。

Webアプリとスマホアプリにおけるセキュリティ対策の違い

Webアプリとスマホアプリにおけるセキュリティ対策の違いとして、主にどこから攻撃が可能かの前提による違いが挙げられます。

攻撃対象をクライアントとサーバに分けると、Webアプリの場合はサーバ側に存在しており、スマホアプリの場合はクライアント側に存在しています。サーバ側に存在しているWebアプリに対しては、手元で解析ができないため、攻撃者はブラックボックスの状態でサイバー攻撃を行いますが、クライアント側に存在しているスマホアプリに対しては、手元で解析ができる場合があるため、ホワイトボックスの状態でサイバー攻撃を行うことができます。

Webアプリの場合は、サーバーを保護することでサイバー攻撃に対応できる場合もあるため、WAFなどによるネットワーク上の対策が有効になる可能性があります。一方で、スマホアプリの場合は、解析自体を困難にすることでサイバー攻撃に対応する必要があるため、難読化などの対策が有効になる可能性があります。

いずれの場合も、ソースコードの脆弱性を修正することが基本的な対策となります。