セキュリティ診断/脆弱性診断スマホアプリ診断について
スマホの普及により、より多くの人がインターネット上で情報を入手できるようになった昨今において、スマホアプリを介したサイバー攻撃は勢いを増しています。
スマホアプリ診断では、スマホアプリ(iOSやAndroidアプリ等)に攻撃者の視点で様々な疑似攻撃を試行し、脆弱性の洗い出しと評価を行います。
スマホアプリ診断プランの一覧
スタンダードプラン
対象となるアプリ例
- 全てのスマホアプリに適用が推奨されます。
リバースエンジニアリング オプション有り
-
音楽や映画などの配信スマホアプリ
知的財産に準ずるデータを取り扱うスマホアプリ - ゲームスマホアプリ
改造や不正行為を防止する必要があるゲームスマホアプリ
エキスパートプラン
対象となるアプリ例
-
マッチングスマホアプリ
プライバシー情報を取り扱うスマホアプリ - 医療スマホアプリ
よりセンシティブな情報を取り扱うスマホアプリ
リバースエンジニアリング オプション有り
-
金融スマホアプリ
クレジットカード情報や個人情報、エンドユーザー による金銭のやりとりなど、機密性の高い情報を扱うスマホアプリ - アプリ内課金のあるスマホアプリ
エンドユーザーによってアプリ内課金が行われるスマホアプリ
検証レベルと診断項目
| スタンダードプラン | エキスパートプラン | リバースエンジニアリング オプション |
|
|---|---|---|---|
| 目的 | 標準セキュリティ 利便性を保ちつつ、一般的なセキュリティ要件に対応したい場合に選択します。 | 多層防御 機密性の高いデータを扱うスマホアプリに推奨され、スタンダードプランに加え、より高度なセキュリティに対応したい場合に選択します。 | リバースエンジニアリングと改ざんへの耐性 ススマホアプリ側に重要な処理を実装しており、リバースエンジニアリングによる改ざんなどに対応したい場合に選択します。 |
| 機密情報の扱い |
一部対象 |
対象 |
ー |
| 暗号化 | 対象 |
対象 |
ー |
| 認証・認可とセッション管理 |
一部対象 |
対象 |
ー |
| ネットワーク通信・証明書検証 |
一部対象
|
対象
|
ー
|
| プラットフォーム連携 |
一部対象
|
対象
|
ー
|
| コード品質・ビルド設定 |
一部対象
|
対象
|
ー
|
| 既知の脆弱性 | 対象 |
対象 |
ー |
| リバースエンジニアリング |
対象外 |
対象外 |
対象 |
よりセキュアにするには…
Webアプリケーション診断やIoT診断 とのパック診断もおすすめです!
WebView専用プランも!
WebViewメインで実装しているアプリに対しての専用プランも提供しています。
スマホアプリ診断の特長
診断経験が豊富な診断士による確かな検出力
最新のトレンドや様々な攻撃手法を熟知した診断員が対応致します。診断経験はもちろんのこと、多種多様な開発言語やフレームワーク、ライブラリの知識も備えており、各種セキュリティガイドラインにも対応可能です。
詳細でわかりやすい診断結果報告書の提出
検出した脆弱性に対して、どんなリスクが存在するのかをわかりやすく説明 し、改修に必要な対策方法を詳細に記載することで、システムのセキュリティレベルを高めることに役立てます。また、重大な脆弱性が検出された場合は速報でお伝えすることで、改修作業をスムーズに行うことが可能 です。
専門エンジニアによる高度な診断
弊社専門エンジニアにより、ツールだけではなく手動での診断も実施 。高度な技術を要求されるリバースエンジニアリングも実施可能です。
柔軟で丁寧なプロジェクト進行
開発の進捗状況に合わせた診断スケジュールの変更やオンサイトでの作業にも対応可能で、診断のご依頼が初めてのお客様にも安心して頂ける丁寧なプロジェクト進行 を心がけます。
弊社が提供するスマホアプリ診断の強み
各業界に豊富な経験があり、各スマホアプリの構成毎に同じ脆弱性でも、脆弱性の危険度や評価を変えています。
こんな診断あるかも…
- 手法
-
ツールのみの診断
ツール診断では、得意・不得意がある
価格だけで
決めないで…
レオンなら!
- より詳細な診断テスト
-
ツールと手動の診断
OWASP MASVS、OWASP Mobile Top10、 Androidセキュアコーディングガイドなどを基にカスタマイズした網羅性のある診断を実施 します。
また、診断対象に対して考えられる攻撃シナリオの発生の可否についても意識 した診断を実施します。
また、互いの弱点を補完し合う診断形式のため、常に2人体制での診断で品質を担保します。
こんな診断あるかも…
- リソース
-
下請け・外注
その分高くなったり、 柔軟性の低下が気になる
無理も
聞きます!
レオンなら!
- 柔軟な対応
-
急な状況の変更にも柔軟に対応
貴社の環境にあわせた柔軟な対応が可能 です。
例えば、API部分や外部配布が難しい場合は、貴社にお伺いして、オンサイトでの診断 を行えます。自社完結のエンジニア
レオンは自社のエンジニアのみで診断を行う ため、スケジュールがギリギリだったり、長期のオンサイト、急な状況の変更にも柔軟に対応します。
まずはお気軽にご相談ください。必要な診断項目などをご提示いたします。
弊社のスマホアプリ診断はこんな方におすすめです
- どこから手を付けて良いか分からない
- 前回の診断から1年以上が経過している
- セキュリティの専門知識が不足している
- スマホアプリの脆弱性診断を行ったことがない
- セキュリティを保護するために、定期的な脆弱性診断を行いたい
- 自社スマホアプリに不安がある
- 他社で診断を行ったが具体的なアドバイスが得られなかった
- 脆弱性診断には興味があるが、予算が確保できるかわからない
ご安心ください。
弊社の営業スタッフが丁寧にお客様の課題をヒアリング
させていただき、
必要な診断項目などをご提示いたします。
スマホアプリ診断項目
以下の項目は一例です。お客様のご状況やニーズに応じて項目をカスタマイズいたします。
機密情報の扱い
| 診断項目 | 調査内容 | スタンダード | エキスパート | WebView ライト |
RE オプション |
|---|---|---|---|---|---|
| ローカルへの不適切な保存 | デバイスに機微情報が適切な方法で保存されているか確認します。 | ○ | ○ | ○ | – |
| 不適切なログ出力 | ログに機微情報が出力されていないか確認します。 | ○ | ○ | ○ | – |
| 外部への不適切な送信 | 機微情報が不要に外部へ送信されていないか確認します。 | ○ | ○ | – | – |
| ユーザーインタフェースからの漏えい | 機微情報を入力および表示するユーザーインタフェースに対し、マスク処理などが施されているか確認します。 | ○ | ○ | ○ | – |
| バックアップへの不適切な保存 | バックアップファイル内の機微情報が適切な方法で保存されているか確認します。 | ○ | ○ | – | – |
| メモリーからの漏えい | 機微情報がメモリーに長期間残存していないか確認します。 | – | ○ | – | – |
| 保険的対策の不備 | 過度な認証試行時に、デバイスに保存された機微情報が削除されるかなど確認します。 | – | ○ | – | – |
| 資格情報保存機能の不適切な利用 | 機微情報をデバイスに保存する際に資格情報保存機能が適切に利用されているか確認します。 | – | ○ | – | – |
暗号化
| 診断項目 | 調査内容 | スタンダード | エキスパート | WebView ライト |
RE オプション |
|---|---|---|---|---|---|
| ハードコードされた暗号鍵 | 暗号鍵がソースコードにハードコードされていないか確認します。 | ○ | ○ | – | – |
| 不適切な暗号アルゴリズムや乱数生成器の利用 | 脆弱な暗号アルゴリズムや乱数生成器が使用されていないかなど確認します。 | ○ | ○ | – | – |
| 暗号鍵の不適切な再利用 | 同じ暗号鍵が異なる目的で再利用されていないか確認します。 | ○ | ○ | – | – |
認証・認可とセッション管理
| 診断項目 | 調査内容 | スタンダード | エキスパート | WebView ライト |
RE オプション |
|---|---|---|---|---|---|
| 認証・認可の実装不備 | 認証・認可が適切に実装されているか確認します。 | ○ | ○ | ○ | – |
| 脆弱なパスワードポリシー | パスワードポリシーが適切に実装されているか確認します。 | ○ | ○ | ○ | – |
| ログアウト機能の実装不備 | ログアウト機能が適切に実装されているか確認します。 | ○ | ○ | ○ | – |
| ローカル認証の実装不備 | ローカル認証が適切に実装されているか確認します。 | – | ○ | – | – |
| 多要素認証の不備 | 多要素認証が適切に実装されているかなど確認します。 | – | ○ | – | – |
| デバイスごとの認証管理と制御の不備 | 異なるデバイスでログインした際に、ログイン通知やログインを拒否できる機能が実装されているかなど確認します。 | – | ○ | – | – |
ネットワーク通信・証明書検証
| 診断項目 | 調査内容 | スタンダード | エキスパート | WebView ライト |
RE オプション |
|---|---|---|---|---|---|
| 暗号化通信の不備 | サーバー通信時に、通信内容が適切に暗号化されているか確認します。 | ○ | ○ | ○ | – |
| SSL/TLSの証明書検証不備や不適切な設定 | SSL/TLS証明書の検証やSSL/TLS設定が適切に行われているか確認します。 | ○ | ○ | ○ | – |
| 証明書ピンニングの不備 | 証明書ピンニングが適切に実装されているか確認します。 | – | ○ | – | – |
| 安全でない通信の利用 | 認証手段としてSMSなどの安全でない通信方法が利用されていないか確認します。 | – | ○ | – | – |
| 安全でないセキュリティプロバイダーの利用(Androidのみ) | 安全なセキュリティープロバイダーが利用されているか確認します。 | – | ○ | – | – |
プラットフォーム連携
| 診断項目 | 調査内容 | スタンダード | エキスパート | WebView ライト |
RE オプション |
|---|---|---|---|---|---|
| 不適切な権限の要求 | 仕様上不要な権限が要求されていないか確認します。 | ○ | ○ | ○ | – |
| IPCの実装不備 | IPCが適切に実装されているか確認します。 | ○ | ○ | – | – |
| カスタムURLの実装不備 | カスタムURLが適切に実装されているか確認します。 | ○ | ○ | – | – |
| WebViewの実装不備 | WebViewが適切に実装されているか確認します。 | ○ | ○ | ○ | – |
| WebViewキャッシュからの機微情報の漏えい | WebViewキャッシュが適切に扱われているか確認します。 | – | ○ | ○ | – |
コード品質・ビルド設定
| 診断項目 | 調査内容 | スタンダード | エキスパート | WebView ライト |
RE オプション |
|---|---|---|---|---|---|
| 入力値検証の不備 | 外部からの入力値が適切に検証・処理されているか確認します。 | ○ | ○ | – | – |
| 不適切なビルド設定 | リリースビルドに不要な情報が含まれていないかなど確認します。 | ○ | ○ | ○ | – |
| 信頼できない環境下でのアプリ実行 | ルート化・脱獄検知が適切に実装されているか確認します。 | – | ○ | – | – |
既知の脆弱性
| 診断項目 | 調査内容 | スタンダード | エキスパート | WebView ライト |
RE オプション |
|---|---|---|---|---|---|
| 既知の脆弱性が存在するライブラリの使用 | 既知の脆弱性が存在するライブラリなどを使用していないか確認します。 | ○ | ○ | – | – |
| スクリーンオーバーレイ攻撃の対策不備(Androidのみ) | スクリーンオーバーレイ攻撃の対策が適切に行われているか確認します。 | ○ | ○ | – | – |
リバースエンジニアリング
| 診断項目 | 調査内容 | スタンダード | エキスパート | WebView ライト |
RE オプション |
|---|---|---|---|---|---|
| ルート化・脱獄検知の不備 | ルート化・脱獄検知が適切に実装されているか確認します。 | – | – | – | ○ |
| デバッグ検知の不備 | デバッグ検知が適切に実装されているか確認します。 | – | – | – | ○ |
| 難読化の末実施 | 難読化が適切に実装されているか確認します。 | – | – | – | ○ |
| データ改ざん検知の不備 | データ改ざん検知が適切に実装されているか確認します。 | – | – | – | ○ |
| ロジック改ざん検知の不備 | ロジック改ざん検知が適切に実装されているか確認します。 | – | – | – | ○ |
| 独自プロトコルの脆弱性 | 独自プロトコルに脆弱性がないか確認します。 | – | – | – | ○ |
| デバイスバインディングの不備 | デバイスバインディングが適切に実装されているか確認します。 | – | – | – | ○ |
実施フロー
ご提案
診断範囲及び診断内容の提案、お見積りを提出させていただきます。また診断スケジュールの調整をさせていただきます。
お申し込み
必要事項を記載し、注文書の送付をお願いいたします。
診断
診断実施中に重大な脆弱性が発覚した場合は速報にて通知します。
※診断中にテストアカウント等の準備をご依頼する場合がございます。
レポート
診断完了後、約5営業日以内に診断報告書を提出させて頂きます。
※オプションにて報告会も実施させて頂きます。
診断員を交えた診断結果報告会とアフターフォロー
報告会にはプロジェクトに関わった診断員が参加し、開発者様と技術的な質問対応をすることも可能です。また、報告会に参加される様々な立場の方に寄り添った報告を行います。改修方法に対するフォローも行います。