スマホアプリセキュリティ診断
スマホアプリセキュリティ診断サービスは、スマホアプリの脆弱性を検出する診断サービスです。スマホアプリ及びWebAPIに対して擬似攻撃を実施し、その脆弱性を検出します。AndroidおよびiOSに対応、検出された脆弱性についてその対策方法まで分かりやすくご報告します。
スマホアプリセキュリティ診断サービスは、スマホアプリの脆弱性を検出する診断サービスです。スマホアプリ及びWebAPIに対して擬似攻撃を実施し、その脆弱性を検出します。AndroidおよびiOSに対応、検出された脆弱性についてその対策方法まで分かりやすくご報告します。
スマホアプリセキュリティ診断では、専門のエンジニアがアプリの脆弱性を調査・診断し、スマホアプリの脅威を検出します。
APKファイルまたはIPAファイルを解析する「静的解析」と、アプリを動作させることで生成される各種ファイルや機能の悪用可否を確認する「動的解析」の2種類の手法による診断を実施します。
-
セキュリティリスクの低減
スマホアプリからの個人情報・機密情報の漏洩や、決済や課金機能を持つアプリの不正利用の原因となる脆弱性を洗い出し、有効な対策を実施することが可能です。
-
セキュアなアプリ開発の実現
スマホアプリの現状を診断した上で、よりセキュアなアプリ環境を実現するための具体的な対策をご提案します。
-
発覚後の改修提案と脆弱性解消を確認
脆弱性が検知されセキュリティに改善点が発見された場合、改修・対策後に再度脆弱性診断を行い、改善されたことを確認します。
01|お見積り・ご発注
診断対象などを選定の後、お見積書を作成します。診断期間や対象などを決定の上、お見積内容に基づき、ご発注いただきます。
02|事前調整・内容確認書作成
診断内容確認書を作成します。必要に応じて事前の導通確認など細部の確認を行います。スマホアプリ診断の場合、対象ファイルをお預かりします。
03|診断
ご指定の時間帯で診断作業を行います。基本は、平日日中(10時~18時)です。夜間、休日をご希望の場合は、ご契約前にお申し付けください。
04|速報
診断中に緊急度の高い脆弱性が発見された場合、速報としてご連絡します。※ご要望の場合のみ。ご契約時にご依頼ください。
05|結果分析/報告書作成
診断結果を報告書として取りまとめ、納品いたします。※診断終了後10営業日以内
06|報告会
専門エンジニアが内容を説明する報告会を開催します。
07|再診断
脆弱性が検出された箇所をお客様側で改修された後、同様の脆弱性が検出されないかを再度診断します。
スマホアプリセキュリティ診断
クライアントアプリケーション
診断手法
静的及び動的解析の2種類の手法による診断
主な診断項目(一部抜粋)
- スマホアプリ内情報の調査:スマホアプリ内で利用する情報に重要情報が含まれているか調査します。
- TimeTraveler脆弱性:時刻操作によるスマホアプリの不正利用の可否を調査します。
- addJavascriptfaceの使用:WebView#addJavascriptface機能の費用有無を調査します。
- ログ出力内容の調査:スマホアプリが出力するログ情報に重要情報が含まれているか調査します。
- 不正Intentによる重要情報アクセス:Intentによる重要情報へのアクセス可否を調査します。
スマートフォン向けWebアプリケーション診断
スマートフォンの実機を用い、無線LANルータ及び診断端末を経由し対象に対して診断を実施します。
実施方法
GSX診断環境から外部インターネット経由で実施するリモート診断と、専門エンジニアがサーバ設置場所にて診断するオンサイト診断の2通りがあります。どんな脅威を想定するかなどに応じて、お選びいただきます。
主な診断項目(一部抜粋)
- SQLインジェクション
- クロスサイトスクリプティング
- ディレクトリトラバーサル
- セッション管理の不備(パラメータ改ざん等)
- クロスサイトリクエストフォージェリ(CSRF)
- 他ユーザーへのなりすまし
- セッションフィクセーション
- 通信の暗号化の不備
- 証明書の不備 など
導入事例
| お客様名 | 概要 |
|---|---|
| 東京エレクトロン デバイス株式会社 | WebからのAPIアクセス、スマホアプリからのAPIアクセス、スマホアプリ(APK)自身の脆弱性についてのセキュリティ対策として脆弱性診断を実施 |
