特有のリスクを抱えるスマホアプリの脆弱性を洗い出します
近年、スマートフォンやタブレット端末を標的とした攻撃は増加の一途をたどっています。スマホアプリはWEBアプリと比べて次のような独自のリスクを抱えています。
| 重要情報の取り扱い | 電話帳・メール・通信ログ・位置情報(GPS)・決済情報・利用履歴など、WEBアプリよりも多くの重要情報が扱われる。 |
| クライアント端末での情報保持 | 情報が、サービス提供者が管理するサーバ側でなく、ユーザ端末側に保持されるため、情報の保護がユーザ依存となる。 |
| クライアント・サーバ間の通信 | 汎用ブラウザ(Chrome、Safariなど)でなく、独自開発された機能でアクセスする上、常時電源オンかつインターネット常時接続状態である。 |
サービス概要
悪意ある第三者の視点で、対象アプリに影響を及ぼす恐れのある脅威と関連リスクをあぶり出します。実機を使った動的解析とAPK(Android)・IPA(iOS)ファイルの静的解析を実施します。
①アプリケーションそのものの診断(スマホアプリ診断)
②スマホアプリ ⇔ サーバ間の通信の診断(API診断)
をご提供いたします。
診断項目
●スマホアプリ
実機を使った動的解析とAPK(Android)・IPA(iOS)ファイルの静的解析を実施します。基本的には攻撃者と同じ観点であるブラックボックステストを実施します。
電話帳などの不必要な個人情報の送信や、不正なサーバに対する通信が発生していないか 、 重要情報を送信する際に、非暗号化などの安全でない通信方法が用いられていないか 等を検査する通信診断と、 端末内のファイルやデータベースに重要情報が平文保存されていないか、データ改ざんや他アプリからのアクセスにより重要情報が漏洩することがないか等を検査する端末内データ診断が基本となります。
このほか、基本診断に加え、 逆アセンブル・リバースエンジニアリングによって得られたコードを調査するバイナリ診断もオプションとして追加することができます(プラチナプラン)。
●API
APIサーバに対するリクエスト/レスポンスを検証・疑似攻撃による検査を実施します。
基本的には攻撃者と同じ観点であるブラックボックステストを実施します。機能・URL・パラメータ・値・留意事項をAPIリクエスト単位で調査し、仕様外の操作が行えないか、また、Webアプリケーションと同様に、各種インジェクション攻撃に対して脆弱か、セッションが適切に管理されているか等を検査します。
スマホアプリ診断
API診断
スマホアプリ診断・API診断とも、発見された脆弱性に対し、CVSS(Common Vulnerability Scoring System)、OWASP Top10、CWE等、国際的な脆弱性評価基準をもとに、弊社独自の基準を適用し脆弱性のランク付けを行います。
診断によって洗い出された問題点は一つ一つ誤検知・過検知を取り除くとともに、対象システムの特性や攻撃の難易度等によりリスク評価を行います。
また、お客様の業種やシステム環境、保持している情報の種類等、他の要因も考慮したリスク分析により、どの問題部位に修正を施すべきかどうかを正確に確認することができます。
実施による効果
■「プロアクティブ」なセキュリティ対策に
サービスを提供するアプリやAPIの「外部」の視点から攻撃防御について確認することで、システムに存在する弱点を事前に検出できます。また、 また、バイナリ診断(オプション)を組み合わせることで、「内部」の視点から「脆弱性/品質」をも確認できます。 それらを修正することで、万が一攻撃を受けた場合にも影響を受けない強固なシステムを実現できます。
■「コンプライアンス」実現の一助に
企業のセキュリティポリシーや業界のセキュリティ基準を遵守していないシステムを特定できるため、コンプライアンス向上の一助となります。
●よくあるご質問
スマホアプリ脆弱性診断についてよくあるご質問はこちら。
それ以外については下記のお問い合わせボタンよりお願いいたします。
