セキュリティ診断

スマートフォンアプリ脆弱性診断

Overview

サービス概要

スマートフォンアプリケーションに潜む脆弱性を報告します。
「スマートフォンアプリケーション脆弱性診断」とは、専用の解析用PCを用いて、スマートフォンアプリケーションおよび連携しているサーバのAPIに対して、インターネット経由で脆弱性診断を実施するサービスです。

スマートフォンアプリ脆弱性診断

こんな方におすすめ

  • 脆弱性

    新規スマホアプリリリース前に脆弱性やチート可能箇所がないか調べたい

  • 定期的にチェック

    既存スマホアプリの脆弱性/チート可能箇所の有無を改修時/定期的にチェックをしたい

  • 早期に改善

    脆弱性に対して攻撃を受けてしまった(予兆があった)ので早期に改善したい

当社サービスの特徴

熟練のエンジニアによるアプリ、APIへの高精度診断

  • 多数の診断経験に基づく、重要箇所の把握
  • API通信上の脆弱性のみではなくアプリケーションの解析も実施
  • 脆弱性による個人情報漏洩に加えチート行為の防止にも寄与

分かりやすく詳細な診断レポート・報告会

  • 事業への影響度を中心としたエグゼクティブサマリ
  • サービスごとの脅威を加味した危険度の判定
  • 再現方法、対策方法を中心とした詳細レポート(脆弱性種別ごと)

アジャイル開発のスピードにも対応可能

  • 規模やスピード感に応じて専任診断チームを構築
  • 開発ライフサイクル内への組み込みも可能
  • デポジット契約にて都度の契約対応も不要

情報セキュリティ
サービス基準

弊社の「脆弱性診断サービス」は、「情報セキュリティサービス基準適合サービスリスト」(経産省)に登録されています

※登録している診断サービスメニューとしては「Webアプリケーション脆弱性診断」「プラットフォーム脆弱性診断」「スマートフォンアプリケーション脆弱性診断」となります。

「情報セキュリティサービス基準」

経済産業省では、情報セキュリティサービスについて、⼀定の品質の維持・向上に努めていることを第三者が客観的に判断し明らかにするための基準として、情報セキュリティサービス基準 を設けて公表しています。弊社の脆弱性診断サービスは、「情報セキュリティサービス基準」に準拠し、認定登録されています。

情報セキュリティサービス基準審査制度:https://sss-erc.org/
弊社サービス掲載ページ:
https://sss-erc.org/iss_books/020-0012-20/

診断方法

APIの診断

スマートフォンからインターネット経由でAPIにアクセスしてブラックボックスでAPIを診断

静的解析

スマートフォンアプリケーション開発の経験があるエンジニアにより目視でソースコードを診断

動的解析

専用のPCで実行プログラムを動作させ、不正な動作を調査 ・デバッガーを用いてプロセスアタッチを行い、アプリケーションのリソースを解析逆アセンブルを行いソースコードを解析

診断項⽬⽐較表

動的解析で診断できる項目
静的診断すると精度よく検出できる項目(動的診断でも可)
機能がないため診断対象外の項目
カテゴリー 診断項目 iOS Android
データ保護 アカウント情報の保護
アプリケーションログ
キーボードキャッシュの無効化
クリップボードの許可状況
パスワードやPINの画面表示
OSバックアップファイルへの機密データ出力
共有ファイルの利用状況
キャッシュファイルの利用状況
最低限のパーミッション設定
機密データ利用目的への説明
機密データのメモリロードと破棄状況
暗号化 暗号化キーのハードコーディング
脆弱な暗号化方式の採用
脆弱な暗号化アルゴリズムの利用
暗号化キーの使いまわし
乱数ジェネレーターの強度
認証とセッション管理 認証処理の不備
セッションIDの生成方法
ログアウト
パスワードポリシー
不適切なバイオメトリクス認証の実装
ログイン通知機能の不備
ネットワーク通信 TLSの利用
SSL証明書の検証不備
証明書ストアの利用方法
プラットフォームAPI 不要なAPIの使用
データ入力値へのチェック処理
カスタムスキームの利用状況
危険なスキームの利用
WebViewのJavascriptアクセス
危険なIMEIやUUIDの利用方法
危険なシリアル化APIの使用
プログラムコードとビルド設定 不適切なプロビジョニング
デバッグモードの有効化
デバッグシンボルの削除状況
利用コンポーネントの既知の脆弱性
エラーハンドリング状況
セキュリティコントロールのエラー設定状況
メモリリークやメモリ保護の状況
スタック保護やPIEサポートの設定状況
リバースエンジニアリング 不適切なRootチェック
不適切なエミュレータチェック
機密データのメモリへの直接ロード
データ改ざん検知機能の有無
リバースエンジニアリングツールの検知
デバッグプロトコルの許可状況
プログラムコードの難読化
サーバーAPI ※Webアプリケーション脆弱性診断の診断項目を参照のこと
リンク掲載
もっと見る
閉じる

サービスの流れ

1:事前準備

事前準備

診断対象アプリに関する情報を弊社フォーマットのヒアリングシートに記載していただき、御見積/スケジュール(仮)をご提示いたします。

2:診断日程確定

診断日程確定

正式にご発注後、診断スケジュールを確定いたします。

3:診断準備

3:診断準備

診断に必要なアカウントのご準備をしていただき、弊社にてアクセス確認を行います。

4:診断実施・報告書納品

診断実施・報告書納品

確定したスケジュールで診断を実施し、報告書を納品いたします。再診断の実施及び報告書の内容に関するお問合せをお受けします。

※報告書納品から3か月

診断サービス約款

EGセキュアソリューションズ株式会社(以下、「当社」といいます。)が提供する脆弱性診断業務(以下、「本業務」といいます。)を利用していただくには、「脆弱性診断サービス利用約款」(以下、「本約款」といいます。)に同意のうえ、本約款を遵守していただく必要があります。
また、本約款は、本業務を利用するお客様と当社との間で定めるものです。

2023 スマホ脆弱性診断サンプル

スマートフォンアプリ脆弱性診断の報告書(サンプル)

専用の解析用PCを用いて、スマートフォンアプリケーションおよび連携しているサーバのAPIに対して、インターネット経由で脆弱性診断を実施いたします。

Documents

Documents