スマホアプリの特性に関する理解と脆弱性診断範囲の明確化
アプリサービスごとの特性を把握し、重点的に行わなければならない脆弱性診断箇所を特定いたします。
-
スマートフォンアプリのシステム構成をヒアリング
仕様書や担当者様へのヒアリングを通してアプリの用途や実装機能を把握します。 -
スマホアプリのセキュリティ診断実施方針の策定及びお見積り
対象アプリに合わせて重点的に行わなければならない項目を策定します。その後お見積りをお出しします。
スマホアプリ診断(iOS/Android)
iOS/Androidアプリケーションに対して、
リバースエンジニアリングやソースコード解析を通じて、セキュリティ上の問題点を評価
iOSやAndroidのスマホアプリに対して評価を行い、セキュリティ上の問題を発見した場合、適切な対策をご提案いたします。スマホアプリの問題点やリスクを認識することで、インシデント発生時に適切な対応を迅速に行うことができます。弊社の脆弱性診断は経験豊富なセキュリティエンジニアが検査を行い、多様な環境での実装、動作を行うアプリの脆弱性診断もご対応可能です。
また、発見された脆弱性に対して信頼性の高い手順、影響、対策方法を理解しやすい形でご提案します。緊急対応、短納期での対応やお客様の問題観点を考慮した診断プランのご提案など柔軟に対応いたします。
※スマホアプリ診断はサイトシールの配布対象サービスです。
スマホアプリ診断(iOS/Android)は
こんな方におすすめ
- スマートフォンアプリのリリース前にセキュリティ評価を行いたい
- クレジットカード情報や銀行口座情報などを扱うためセキュリティを高めたい
- ユーザの個人情報を取り扱うため、セキュリティを高めたい
スマホアプリ(iOS・Android)脆弱性診断の
3つの特長
完全手動によるスマホアプリの脆弱性診断。iOS/Androidの両方で高度なリバースエンジニアリングまで対応
01多様なフレームワーク、プロトコル、アンチデバッグ機構のある環境でも診断
弊社のスマホアプリ脆弱性診断では多種多様な診断実績と高度な知見を持つエンジニアが在籍しております。高度な逆アセンブル/逆コンパイルによる静的解析、アプリ機能に対する適切なアプローチによる動的解析、通信プロトコル(TCP / UDP / SIP / Bluetooth / NFC / WebSocket / gRPC / ProtocolBuffers / 独自プロトコル etc)、クロスプラットフォーム環境(Apache Cordova / Flutter / React Native / Xamarin etc)、お客様でご用意されたSDK/フレームワーク、アンチデバッグ機構が有効な状態においても診断を行うことが可能です。(各種事前にヒアリングを実施させていただきます)
02信頼の高い報告結果
検出した脆弱性の再現方法が充実しているため(再現されたスクリーンショット/攻撃スクリプト等のエビデンス)お客様の方でも再現可能な形でご報告結果をお出しいたします。また対策に関しても具体的な推奨例を記載いたします。
03診断観点のカスタマイズ、診断アプローチのご相談にも柔軟に対応
一般的な脆弱性基準(JSSEC Androidアプリのセキュア設計・セキュアコーディングガイド / OWASP Mobile Top 10 / MASVS)やお客様がご用意されるセキュリティ観点の検査をカスタマイズした診断を行うことが可能です。(ご指定がない場合は、弊社が用意した脆弱性観点を実施いたします)
スマホアプリ診断(iOS/Android)の
診断フロー
-
01
スマホアプリ脆弱性診断 事前準備
-
02
スマートフォンアプリ診断実施
完全手動によるスマホアプリのセキュリティ診断
完全な手作業で脆弱性診断を実施します。基本的なチェックから高度なリバースエンジニアリングまで対応しています。
-
静的解析
リバースエンジニアリングしたソースコードから脆弱性を調査します。必要に応じて実証コードを書き、想定した攻撃シナリオが成功するかを検証します。 -
動的解析
アプリを動作させた際に生成されるファイルやログの内容、発生する通信の中身を調査します。
-
-
03
スマホアプリケーション診断報告及び改善案提出
解析/診断実施結果報告
検知された脆弱性や全体としてのセキュリティ強度、危険性、今後の対策まで触れていきます。
-
脆弱性の再現手順
検知された脆弱性の再現手順を個別に明記します。また対策方法についてもご説明します。 -
総合評価
全体としてのセキュリティ強度や、危険性についてコメントし、今後の対策まで触れていきます。
※オプションプランとして、報告会や再診断についてもお客様のご要望に応じて対応します。
-
スマホアプリ(iOS・Android)脆弱性診断の
診断項目
情報の保管
| バックアップ操作による情報抽出 | バックアップ攻撃による重要情報の窃取可否等を調査します。 |
|---|---|
| 重要情報の送信方法 | 永続化を注意すべき情報を永続化しているかを調査します。 |
| 暗号化の不備 | 他アプリが復号可能な状態で機微な情報を保存しているかや、暗号アルゴリズム等の強度について調査します。 |
| 機微情報の平文保管 | 平文で機微な情報を保存しているかを調査します。 |
| アクセス許可設定の不備 | 不適切なパーミッションで重要情報を保存しているか等を調査します。 |
通信
| 暗号化・改竄検知の不備 | 証明書を適切に検証しているか等を調査します。 |
|---|---|
| 平文通信 | 平文で機微な情報を送受信しているか等を調査します。 |
| WebViewを通じたアプリ乗っ取り | Native JS間連携の実装不備による任意コード実行ができるか等を調査します。 |
アプリ連携
| アプリ連携を通じた妨害 | アプリ連携を通じて外部からアプリをクラッシュさせられるかを調査します。 |
|---|---|
| アプリ連携を通じたアプリ乗っ取り | アプリ連携を通じて外部からアプリを不正に制御できるかを調査します。 |
| アプリ連携を通じた情報漏洩 | アプリ連携を通じて外部から機微な情報を読み取れるかを調査します。 |
その他
| アプリ解析を容易にする設定・実装 | 難読化の有無やデバッグが可能になっているかを調査します。 |
|---|---|
| 秘密情報の埋め込み | 公開鍵暗号方式における秘密鍵等の埋め込むべきでない情報が埋め込まれているか調査します。 |
| 不適切な認証 | 認証に用いるべきではない情報で認証しているか等を調査します。 |
「情報セキュリティサービス基準適合サービスリスト」登録済
当社のスマホアプリ脆弱性診断は経済産業省の定める情報セキュリティサービス基準に適合したサービスとして「情報セキュリティサービス台帳」に登録されています。
サービス名:脆弱性診断サービス
登録番号:019-0004-20
019-0004-20
スマホアプリ(iOS・Android)脆弱性診断に関する
よくある質問
- Q診断プランはどのようなものがある?
- A費用感、規模感に合うように各種ご用意しております、また診断内容のカスタマイズも可能です、事前にヒアリングさせていただき、ご要望に沿った脆弱性診断結果をご提供できるようにいたします。
- Qスマホアプリ上で動作するアプリケーションですが、どの診断サービスが適していますか?
- Aお客様のアプリケーションの特性や懸念されるレイヤー、弊社観点での脅威予測などを事前ヒアリングからすり合わせを行い適切なサービスへご案内いたします。
例)
ゲームアプリ
パラメータ/アプリパッケージ改竄などができない事を確認したい
→ ゲームチートペネトレーションテストを推奨
IoT連携を行うアプリ
アプリ、機器双方に脆弱性がないかを確認したい
→ スマホアプリ診断+Iot診断を推奨
- Q審査/リリース直前、急ぎで脆弱性診断を行いたい
- A短納期での診断もご対応可能です、状況ヒアリングなどをさせていただきお客様のご希望に添える日程感での診断を行うことも可能です。
