セキュリティ診断/脆弱性診断デスクトップアプリ診断について
デスクトップアプリ診断は、WindowsやMacで動作するアプリケーションの評価を行います。
もしセキュリティ上の問題が見つかれば、適切な対策を提案します。このプロセスにより、各OS上での問題やリスクを把握し、インシデントが発生した場合に素早く対応できます。
弊社の脆弱性診断は、経験豊富なセキュリティエンジニアがアプリケーションを検査し、さまざまな環境での実装や動作を詳しく調査。
見つかった脆弱性に対する信頼性の高い手順、影響、対策方法を分かりやすく提案します。
お客様の環境にあわせた柔軟な対応が可能です。
例えば、API部分や外部配布が難しい場合は、貴社にお伺いして、オンサイトでの診断を行うことも可能です。
リバースエンジニアリングオプションとは
- デスクトップアプリが逆コンパイル・解析された際の脅威やセキュリティリスクを診断するためのオプション
- デスクトップアプリ側に重要な処理を実装しており、リバースエンジニアリングによる改ざんなどに対応したい場合に選択
リバースエンジニアリングで確認する範囲
- デスクトップアプリ内に埋め込まれている情報(APIキー、暗号化キー、デバッグ情報など)の漏えいなどのリスクを確認
- デスクトップアプリを逆コンパイルして、セキュリティリスクや不正行為のリスクを確認
- 独自に実装された通信プロトコルのセキュリティ評価、誤った設計や実装によるリスクを確認
オプション無し
利便性を保ちつつ、一般的なセキュリティ要件に対応したい場合に選択します。全てのデスクトップアプリに適用され、安全性を確保します。
対象となるアプリ例
- 全てのデスクトップアプリに適用が推奨されます。
オプション有り
個人情報など、より機密性の高いデータを扱うデスクトップアプリに推奨され、より高度なセキュリティに対応したい場合に選択します。
対象となるアプリ例
-
ライセンス管理アプリ
ソフトウェアの正規性をチェックするためのライセンス認証機能を持つデスクトップアプリ - 金融系デスクトップアプリ
クレジットカード情報や個人情報、エンドユーザーによる金銭のやりとりなど、機密性の高い情報を扱うスマホアプリ - セキュリティアプリ
ファイアウォールやウイルス対策機能を持つデスクトップアプリ - アプリ内課金のあるデスクトップアプリ
エンドユーザーによってアプリ内課金が行われるデスクトップアプリ - 音楽や映画などの配信デスクトップアプリ
知的財産に準ずるデータを取り扱うデスクトップアプリ
デスクトップアプリ診断の特長
診断経験が豊富な診断士による確かな検出力
最新のトレンドや様々な攻撃手法を熟知した診断員が対応致します。診断経験はもちろんのこと、多種多様な開発言語やフレームワーク、ライブラリの知識も備えており、各種セキュリティガイドラインにも対応可能です。
詳細でわかりやすい診断結果報告書の提出
検出した脆弱性に対して、どんなリスクが存在するのかをわかりやすく説明 し、改修に必要な対策方法を詳細に記載することで、システムのセキュリティレベルを高めることに役立てます。また、重大な脆弱性が検出された場合は速報でお伝えすることで、改修作業をスムーズに行うことが可能 です。
専門エンジニアによる高度な診断
弊社専門エンジニアにより、ツールだけではなく手動での診断も実施 。高度な技術を要求されるリバースエンジニアリングも実施可能です。
柔軟で丁寧なプロジェクト進行
開発の進捗状況に合わせた診断スケジュールの変更やオンサイトでの作業にも対応可能で、診断のご依頼が初めてのお客様にも安心して頂ける丁寧なプロジェクト進行 を心がけます。
弊社が提供するデスクトップアプリ診断の強み
各業界に豊富な経験があり、構成毎に同じ脆弱性でも、脆弱性の危険度や評価を変えています。
こんな診断あるかも…
- 手法
-
ツールのみの診断
ツール診断では、得意・不得意がある
価格だけで
決めないで…
レオンなら!
- より詳細な診断テスト
-
弱点を補完し合う診断形式
診断対象に対して考えられる攻撃シナリオの発生の可否についても意識した診断を実施します。
お互いの弱点を補完し合う診断形式のため、常に2人体制での診断で品質を担保します。オンサイトも可能
貴社の環境にあわせた柔軟な対応が可能です。例えば、API部分や外部配布が難しい場合は、貴社にお伺いして、オンサイトでの診断を行うことも可能です。
こんな診断あるかも…
- リソース
-
下請け・外注
その分高くなったり、 柔軟性の低下が気になる
無理も
聞きます!
レオンなら!
- 柔軟な対応
-
急な状況の変更にも柔軟に対応
レオンは自社のエンジニアのみで診断を行うため、スケジュールがギリギリだったり、長期のオンサイト、急な状況の変更にも柔軟に対応します。
わかりやすいレポート
対策に活用しやすいレポートを作成いたします。診断内容や脆弱性だけでなく、攻撃手順の詳細や対策方法・設定例などを具体的にかつ簡潔に記載したレポーティングに定評があります。
まずはお気軽にご相談ください。必要な診断項目などをご提示いたします。
弊社のデスクトップアプリ診断はこんな方におすすめです
- どこから手を付けて良いか分からない
- 前回の診断から1年以上が経過している
- セキュリティの専門知識が不足している
- デスクトップアプリの脆弱性診断を行ったことがない
- セキュリティを保護するために、定期的な脆弱性診断を行いたい
- 自社デスクトップアプリに不安がある
- 他社で診断を行ったが具体的なアドバイスが得られなかった
- 脆弱性診断には興味があるが、予算が確保できるかわからない
ご安心ください。
弊社の営業スタッフが丁寧にお客様の課題をヒアリング
させていただき、
必要な診断項目などをご提示いたします。
デスクトップアプリ診断項目
以下の項目は一例です。お客様のご状況やニーズに応じて項目をカスタマイズいたします。
インジェクションに関する項目
| 項目 | 調査内容 |
|---|---|
| DLLインジェクション | デスクトップアプリケーションが外部のDLLファイルを不正に読み込むかどうかを検査し、潜在的な脆弱性を特定する。 |
| OSコマンドインジェクション | アプリケーションが外部のOSコマンドを受け入れる際に、不正なコマンドが注入される可能性を検査し、脆弱性を特定する。 |
| XXE | XML外部実体注入 (XXE) の脆弱性を検査し、アプリケーションが外部エンティティを正しく処理しているかどうかを確認する。 |
| Excelファイルインジェクション | アプリケーションがExcelファイルを処理する際に、悪意のあるマクロや埋め込まれたコードを検出し、対処する。 |
| SQLインジェクション | アプリケーションがデータベースクエリを受け取る際に、SQLインジェクション攻撃を防ぐための対策が適切に行われているか調査する。 |
| LDAPインジェクション | アプリケーションがLDAP (Lightweight Directory Access Protocol) を使用する際に、LDAPインジェクション攻撃を防ぐ対策を評価する。 |
| オープンリダイレクト | アプリケーションが外部のURLにリダイレクトする際、不正なURLへのリダイレクトが行われないように検査し、セキュリティを確保する。 |
| ディレクトリトラバーサル | アプリケーションがファイルやディレクトリへのアクセス制御を適切に行っており、ディレクトリトラバーサル攻撃を防ぐ対策があるか調査する。 |
| ローカルファイルインクルード | アプリケーションがローカルファイルをインクルードする際に、不正なファイルへのアクセスができないように検査し、セキュリティを確保する。 |
| リモートファイルインクルード | アプリケーションがリモートファイルをインクルードする際に、不正なファイルへのアクセスができないように検査し、セキュリティを確保する。 |
| CRLFインジェクション | アプリケーションが改行やキャリッジリターン文字を不正に処理してしまう脆弱性を検査し、HTTPヘッダーなどでの攻撃を防ぐための対策を評価する。 |
ファイルアップロードに関する項目
| 項目 | 調査内容 |
|---|---|
| 悪意あるファイルのアップロード | デスクトップアプリにおけるファイルアップロード機能のセキュリティ対策を評価し、ユーザーが有害なファイルをアップロードするリスクを特定することです。 |
ロジックに関する項目
| 項目 | 調査内容 |
|---|---|
| バリデーション不備 | デスクトップアプリ内でのユーザー入力データや外部からのデータが適切に検証されているかどうかを調査。不正なデータが受け入れられる可能性やセキュリティリスクを評価。 |
| シリアライズされたオブジェクト | デスクトップアプリで使用されるオブジェクトが正しくシリアライズ(データ変換)およびデシリアライズ(データ復元)されているかを確認。データの整合性やパフォーマンスに影響を与える可能性がある。 |
| バッファオーバーフロー | デスクトップアプリ内のデータバッファに対するオーバーフロー(上限を超えたデータの書き込み)が発生していないかを検証。セキュリティ上の脆弱性を特定し、データの安全性を確保。 |
APIサーバー通信に関する項目
| 項目 | 調査内容 |
|---|---|
| 不正通信 | デスクトップアプリが不正なネットワーク通信を行っていないかを検証。不正なデータ転送や攻撃者によるアクセスを防ぐために、ネットワーク通信の監視および制限を確認。 |
| セッション管理の不備 | ユーザーセッションの管理が適切に行われているかを評価。セッションの適切な開始、終了、タイムアウト、セッションデータの保護などが考慮されているか確認。 |
| 認証・認可の不備 | ユーザー認証とアクセス権限の管理に関する不備を検出。不正なユーザーアクセスや権限の不一致を防ぐための認証と認可の実装が正確であるか確認。 |
| 暗号化通信の不備 | デスクトップアプリの通信が暗号化されているかどうかを確認。暗号化の不足はデータ漏えいのリスクを高めるため、適切な暗号化プロトコルの使用と設定が重要である。 |
端末内データに関する項目
| 項目 | 調査内容 |
|---|---|
| 端末内データ不備 | デスクトップアプリがローカル端末内のデータ(ファイルやデータベースなど)を適切に保護しているかを確認。データの漏えいや損失を防ぐための適切なセキュリティ措置が取られているか検証。 |
| パーミッションの不備 | デスクトップアプリが必要なパーミッションを要求し、適切に制御しているかを評価。ユーザーのプライバシーとセキュリティを守るために必要な権限管理が行われているか確認。 |
| ログへの機微情報の出力 | ログファイルに機密情報(パスワード、個人情報など)が出力されていないかを検証。ログファイルの適切な設定および情報のマスキングなどが実施されているか確認。 |
| メモリーへの機微情報の出力 | メモリー内のデータが適切に保護されているか確認。メモリーダンプやデバッグ情報から機密情報が漏えいしないよう、メモリーの扱いに関するセキュリティ対策が実施されているか検証。 |
| 暗号化の不備 | デスクトップアプリがデータの暗号化を適切に実施しているかを確認。データの伝送および保存時に適切な暗号化アルゴリズムと鍵管理が使用されているかどうかを評価。 |
アプリの解析に関する項目
| 項目 | 調査内容 |
|---|---|
| WebViewの不備 | アプリ内で使用されているWebViewが適切にセキュリティ設定され、脆弱性がないか確認。WebView内での悪意あるコード実行やクロスサイトスクリプティング(XSS)攻撃などを防ぐ対策が実施されているかを調査。 |
| IPC機能の不備 | デスクトップアプリ内の異なるプロセス間通信(IPC)が安全に行われているか確認。不正なプロセス間データの流出や攻撃を防ぐための適切な認証とセキュリティ対策が行われているか検証。 |
| 権限昇格 | デスクトップアプリの権限を悪用し、不正に高い権限を取得できるかを調査。 |
| コンパイル・ビルド設定の不備 | アプリのコンパイルとビルド設定がセキュリティとパフォーマンスを考慮しているか確認。コードの最適化、デバッグ情報の削除、署名などが適切に設定されているか評価。 |
| 解析耐性の不備 | アプリケーションが解析ツールやデバッガに対して十分な耐性を持っているか検証。逆コンパイルやデコンパイル、デバッグの難化、シンボルの削除などの対策が適切に実施されているか確認。 |
| 既知の脆弱性 | 既知の脆弱性が含まれるライブラリを使用していないか調査。 |
リバースエンジニアリングに関する項目
| 項目 | 調査内容 |
|---|---|
| 機微情報のハードコーディング | デスクトップアプリに機微情報がハードコーディングされていないか確認。 |
| 通信プロトコルの不備 | 通信プロトコルの悪用により不正な操作を行えないか確認。 |
| 脆弱なロジックの調査 | 脆弱なロジックにより不正な操作を行えないか確認。 |
| リモートコード実行 | 外部からコードを実行できないか確認。 |
実施フロー
ご提案
診断範囲及び診断内容の提案、お見積りを提出させていただきます。また診断スケジュールの調整をさせていただきます。
お申し込み
必要事項を記載し、注文書の送付をお願いいたします。
診断
診断実施中に重大な脆弱性が発覚した場合は速報にて通知します。
※診断中にテストアカウント等の準備をご依頼する場合がございます。
レポート
診断完了後、約5営業日以内に診断報告書を提出させて頂きます。
※オプションにて報告会も実施させて頂きます。
診断員を交えた診断結果報告会とアフターフォロー
報告会にはプロジェクトに関わった診断員が参加し、開発者様と技術的な質問対応をすることも可能です。また、報告会に参加される様々な立場の方に寄り添った報告を行います。改修方法に対するフォローも行います。