Know your enemy.Defense leadership.

Mobile Applications スマートフォンアプリケーション診断

スマートフォンアプリケーション診断では、iOSやAndroidなどのスマートフォンアプリケーションに対して疑似攻撃を行い、スマートフォンアプリケーションに存在する情報漏えいやアプリケーションをクラッシュさせるといった様々なリスクを調査するサービスです。

サービスの内容

スマートフォンアプリケーション診断は、スマートフォンアプリケーション本体とWeb APIに対して疑似攻撃を行い、スマートフォンアプリケーション上の脆弱性を調査報告いたします。スマートフォンアプリケーション本体の診断は、静的解析、動的解析を組み合わせて実施します。

診断のイメージ図 診断のイメージ図

スマートフォンアプリケーションは、Webアプリケーションなどと異なり、ユーザのAndroid/iOS端末にインストールされ利用されます。そのため、攻撃者はスマートフォンアプリケーションを入手することができ、アプリケーション内の処理は攻撃者自信が手元で容易に解析を行える状況となっています。
スマートフォンアプリケーション診断では、攻撃者と同じ目線で解析することでセキュリティ事故を未然に防止することができます。

サービスの特徴

脆弱性検証に関する高い技術
新たな脆弱性(0day)や脆弱性を検出する手法に関するドキュメントの公開などを行っています。
技術ドキュメントはこちらで公開しています。
多数の脆弱性発見実績
JPCERT/CC と IPA が共同で運営する JVN(Japan Vulnerability Notes)への脆弱性報告の公表において、新たな脆弱性(0day)を累計200件以上も報告しています。未知の脆弱性を発見する高いスキルを持つセキュリティエンジニアが弊社に多数在籍しています。
CVE番号 問題概要 CVSSv3基本値
CVE-2019-6024 アクセス制限不備 4.7
CVE-2019-5927 ディレクトリトラバーサル 4.7
CVE-2019-5923 ディレクトリトラバーサル 4.7
CVE-2019-5910 ディレクトリトラバーサル 4.7
CVE-2018-16202 ディレクトリトラバーサル 4.7

主な診断項目

診断項目 詳細
アプリケーション間連携

アクセス制限

情報の送受信

不正なアプリケーションからのアクセスを適切に制限しているか
不正な情報を受信することにより情報漏えいや改ざんが発生しないか
重要情報を不適切な方法で送信していないか
通信
プロトコル どのようなプロトコルを用いて通信をしているか
暗号化の有無 重要情報を送受信する際に暗号化通信をしているか
サーバ証明書検証 SSL/TLS通信時にサーバ証明書を検証しているか
通信内容 個人情報や認証情報等の重要情報を送受信しているか
プライバシーの保護 適切な許諾を得ずに個人情報などをサーバに送信していないか
認証
認証機能 認証機能が安全に実装されているか
連携機能 アプリケーション連携により認証・認可情報が窃取されないか
ログアウト機能 ログアウト機能が適切に実装されているか
端末内のデータの取扱
保存場所 共有領域に重要情報を保存していないか
アクセス権限 ファイルへのアクセス権限が適切に設定されているか
保存方法 重要情報を保存する際に暗号化をしているか
保存期間 適切なタイミングで端末内の情報を削除しているか
アプリケーション ファイル・ログ
不要な情報の有無 開発環境やテスト環境、開発者に関連する情報が残存していないか
不要な情報の出力有無 重要情報や解析の手がかりとなりうる情報を出力していないか
機能の利用
パーミッション設定 アプリケーションが利用しない不要なパーミッションを登録していないか

1

事前準備

  • お客様ご提供の資料やアプリケーションをもとに必要な情報の確認
  • 対象サービスへの疎通確認 など

2

スマートフォンアプリケーション診断

  • 事前確認に基づき診断作業を実施
  • 静的解析や動的解析を組み合わせながらセキュリティエンジニアによる手動診断を実施

3

分析・評価

  • 検出された脆弱性の分析・評価
  • 脆弱性が悪用された場合の脅威、影響度などを分析・評価
  • 診断結果報告書の作成

4

診断結果の報告

  • お客様へ診断結果報告会を実施
  • 診断結果(脆弱性、脅威、影響度など)に関する質疑応答
  • 診断結果報告書の納品