スマホアプリ診断

スマートフォンアプリケーション診断では、iOSやAndroidなどのスマートフォンアプリケーションに対して疑似攻撃を行い、スマートフォンアプリケーションに存在する情報漏えいやアプリケーションをクラッシュさせるといった様々なリスクを調査するサービスです。

サービス内容
サービスの特徴

サービス内容

スマートフォンアプリケーション診断は、スマートフォンアプリケーション本体とWeb APIに対して疑似攻撃を行い、スマートフォンアプリケーション上の脆弱性を調査報告いたします。スマートフォンアプリケーション本体の診断は、静的解析、動的解析を組み合わせて実施します。

スマートフォンアプリケーションは、Webアプリケーションなどと異なり、ユーザのAndroid/iOS端末にインストールされ利用されます。そのため、攻撃者はスマートフォンアプリケーションを入手することができ、アプリケーション内の処理は攻撃者自信が手元で容易に解析を行える状況となっています。
スマートフォンアプリケーション診断では、攻撃者と同じ目線で解析することでセキュリティ事故を未然に防止することができます。

サービスの特徴

脆弱性検証に関する高い技術

新たな脆弱性(0day)や脆弱性を検出する手法に関するドキュメントの公開などを行っています。
技術ドキュメントはこちらで公開しています。

多数の脆弱性発見実績

JPCERT/CCとIPAが共同で運営するJVN（Japan Vulnerability Notes）への脆弱性報告の公表において、新たな脆弱性（0day）を累計200件以上も報告しています。未知の脆弱性を発見する高いスキルを持つセキュリティエンジニアが弊社に多数在籍しています。

CVE番号	問題概要	CVSSv3基本値
CVE-2019-6024	アクセス制限不備	4.7
CVE-2019-5927	ディレクトリトラバーサル	4.7
CVE-2019-5923	ディレクトリトラバーサル	4.7
CVE-2019-5910	ディレクトリトラバーサル	4.7
CVE-2018-16202	ディレクトリトラバーサル	4.7

主な診断項目

アプリケーション間連携

診断項目	詳細
アクセス制限情報の送受信	不正なアプリケーションからのアクセスを適切に制限しているか不正な情報を受信することにより情報漏えいや改ざんが発生しないか重要情報を不適切な方法で送信していないか

通信

診断項目	詳細
プロトコル	どのようなプロトコルを用いて通信をしているか
暗号化の有無	重要情報を送受信する際に暗号化通信をしているか
サーバ証明書検証	SSL/TLS通信時にサーバ証明書を検証しているか
通信内容	個人情報や認証情報等の重要情報を送受信しているか
プライバシーの保護	適切な許諾を得ずに個人情報などをサーバに送信していないか

認証

診断項目	詳細
認証機能	認証機能が安全に実装されているか
連携機能	アプリケーション連携により認証・認可情報が窃取されないか
ログアウト機能	ログアウト機能が適切に実装されているか

端末内のデータの取扱

診断項目	詳細
保存場所	共有領域に重要情報を保存していないか
アクセス権限	ファイルへのアクセス権限が適切に設定されているか
保存方法	重要情報を保存する際に暗号化をしているか
保存期間	適切なタイミングで端末内の情報を削除しているか

アプリケーションファイル・ログ

診断項目	詳細
不要な情報の有無	開発環境やテスト環境、開発者に関連する情報が残存していないか
不要な情報の出力有無	重要情報や解析の手がかりとなりうる情報を出力していないか

機能の利用

診断項目	詳細
パーミッション設定	アプリケーションが利用しない不要なパーミッションを登録していないか

サービス提供フロー

1. 事前準備

お客様ご提供の資料やアプリケーションをもとに必要な情報の確認
対象サービスへの疎通確認など

2. スマートフォンアプリケーション診断

事前確認に基づき診断作業を実施
静的解析や動的解析を組み合わせながらセキュリティエンジニアによる手動診断を実施

3. 分析・評価

お客様へ診断結果報告会を実施
診断結果（脆弱性、脅威、影響度など）に関する質疑応答
診断結果報告書の納品

4. 診断結果の報告

お客様ご提供の資料やアプリケーションをもとに必要な情報の確認
対象サービスへの疎通確認など

本サービスに関するお問い合わせはこちら

お問い合わせ