お問い合わせ MENU

スマホアプリ脆弱性診断

スマホアプリを原因とする端末・アプリ内の情報漏洩を防ぐソリューション

画像

サイバー攻撃による情報セキュリティへの被害は、企業運営に重大なインパクトを与える要素になっています。情報漏洩が原因で上場廃止になったケースや、不正利用が多発したことによりサービス停止になったケース、そのどれもが、セキュリティの対策をしておけば未然に防げる可能性があったことです。

スマホアプリに由来するセキュリティ事故は、ユーザがストアから不正なアプリをインストールしてしまった結果、不正にアプリのデータを参照しているケースや、スマホアプリ自体のロジックに組み込まれている脆弱性を悪用されるものが大多数です。

ポルトのスマホアプリ脆弱性診断では、セキュリティの専門家がスマホアプリにおける設定の不備やJailbrekおよびroot化された端末からの不正操作を検証することで、アプリケーションを起点とした脆弱性がないかを検証します。アプリ特有の実装についても、ご要望に応じて診断観点に組み込んだうえで診断し、明確に伝わる詳細な報告書を作成します。

脆弱性診断プラン

セキュリティ診断(ライト)
ご提供いただいたバイナリファイルから、静的解析を行うことで、スマホアプリ自体の脆弱性を網羅的に診断します。結果をもとにアプリケーション内の設定や機能の脆弱性を、専門家が検証しご報告します。
セキュリティの現状が気になる方や対策に費用をかけづらいお客様にオススメ
アドバンスドセキュリティ診断
バイナリファイルの解析だけではなく、アプリケーションを操作することで動的解析も行います。アプリケーション全体の処理を静的・動的両方の側面から解析することで、アプリケーション間の連携や静的解析・動的解析片方だけでは検出不可能な脆弱性がないかを検証します。
スマホアプリを軸としたサービスがメイン事業の企業様にオススメ

報告書について

報告書は、エンジニアだけではなく、経営層や非エンジニアである企画職、サポート職の方にもわかりやすいよう、サマリーレポートをご用意いたします。サマリーレポートには、脆弱性診断の概要や基準、全体的な結果の記載をしており、現在のシステムがどのようなセキュリティリスクを抱えているか可視化できます。

サマリーレポートのサンプル

同時にエンジニアレポートもご用意いたします。
セキュリティ診断で検出した脆弱性の詳細だけでなく、脆弱性が悪用された場合のリスクやセキュリティ診断を実施したシステムごとの再現確認方法、修正方法や推奨する対策を記載しております。

エンジニアレポートのサンプル

診断観点

株式会社ポルトでは、専門家が以下の観点でセキュリティ診断を実施します。
記載のない観点においても、検出した脆弱性は報告書にまとめて記載します。

カテゴリ 脆弱性調査例 脆弱性調査概要
設定ファイルの調査 バックアップ機能、デバッグ機能 アプリのセキュリティが低下してしまう可能性がある設定項目について調査します。
バックアップ・リストア攻撃の調査 バックアップ機能が有効 リストア バックアップ機能を利用して、アプリ権限外でデータを漏えい・改ざん出来てしまわないか調査します。
データ保存の調査 ファイルパーミッション不備、外部ストレージへの保存、用意に解読可能な暗号による保存 アプリ権限外でデータが漏洩してしまわないか調査します。
Webview関連の脆弱性の調査 オリジンの制御不備、JavaScript ネイティブ間連携 ・中間者攻撃や他の攻撃手法と組み合わせて、Webviewの機能に攻撃し、情報漏えいや不正利用などが出来るか調査します。
SSL/TLSサーバ証明書の検証不備の調査 オリジンの制御不備、JavaScript WebviewなどSSL/TLSサーバ証明書の検証不備 ・自己署名や不正なホスト名による証明書などがサーバから提示された場合に、アプリが許容してしまわないか調査します。
秘密情報の埋め込み調査 クラウドサービスの秘密鍵 公開してしまった場合に、アプリやサーバが被害を受ける可能性のある情報がないか調査します。
外部連携機能 Activity/Service/ContentProvider/Receiver、カスタムスキーム 外部連携機能において、アプリ権限外での情報漏えいや不正利用などを調査します。
ログ出力の調査 ログ機能 アプリ間におけるログの漏洩 ・ログ出力が漏洩可能かどうか調査します。 ※ご要望次第では、パラメータを頂ければ通常利用時にユーザに見られてはいけない情報についても調査します。
平文通信の調査 重要情報の平文通信による情報漏えい 平文通信において、重要情報を送信していたり、その他の問題と組み合わせて情報が漏えいしてしまわないか調査します。
認証の調査 端末固有情報を利用した認証 推測可能もしくは外部から容易に入手可能な情報をパラメータとして認証を行っていないか調査します。
その他 調査項目の一覧に記載出来なかったアプリの設計による特殊な問題についても、一般的に脆弱だと認識出来るものについては発見次第指摘致しますが、ご相談次第ではその他の項目も調査致します。
  • SSL/TLS証明書のピン止めの有無の調査
  • Jailbreak検知の有無の調査
  • 難読化の有無の調査
  • クリップボードの調査
  • タスク一覧のスナップショットにおける情報漏えいの調査
  • カスタムキーボードにおける情報漏えいの調査
  • App Storeにリリースされたメモリダンプによる情報の復号が必要なアプリの調査
  • パッケージ改ざん(海賊版アプリ等)の作成の対策が行われているかどうかの調査

スマホアプリ脆弱性診断は情報セキュリティサービス基準に適合しています

株式会社ポルトのスマホアプリ脆弱性診断は、経済産業省が策定した「情報セキュリティサービス台帳」に登録されています。詳細はこちらをご確認ください。

Contact Usお仕事やお見積りのご依頼、ご相談を承ります。
お気軽にお問い合わせください。

お問い合わせフォームへ