MASVS-RESILIENCE: リバースエンジニアリングと改竄に対する耐性

リバースエンジニアリングや特定のクライアント側攻撃に対するアプリの耐性を高めるには、コードの難読化、アンチデバッグ、改竄防止などの多層防御対策が重要です。複数のセキュリティコントロールレイヤーをアプリに追加することで、攻撃者がリバースエンジニアリングを成功させ、以下のような事態を招いて、貴重な知的財産や機密データを抽出することをより困難にします。

• プロプライエタリアルゴリズム、企業秘密、顧客データなどの貴重なビジネス資産の窃取や侵害

• 収益減や法的措置による重大な経済的損失

• 契約や規制の違反による法的ダメージや風評被害

• 否定的な宣伝や顧客の不満によるブランドレピュテーションの低下

このカテゴリのコントロールはアプリが信頼できるプラットフォーム上で実行されていることを確保し、実行時の改竄を防止し、アプリの意図する機能の完全性を確保することを目的としています。さらに、コントロールは静的解析を使用してアプリがどのように機能するかを解明することを困難にすることで理解を妨げ、攻撃者が実行時にコードを改変することを可能にする動的解析や動的計装を防止します。

しかし、これらの対策のいずれかが欠けていても必ずしも脆弱性が発生するわけではないことに注意します。代わりに、アプリに脅威固有の追加の保護を追加し、特定の脅威モデルに従って残りの OWASP MASVS セキュリティコントロールを満たす必要があります。