スマートフォンアプリ脆弱性診断(セキュリティ診断)

スマートフォンアプリ脆弱性診断の概要

サイバーディフェンス研究所のスマートフォンアプリ脆弱性診断は、高い技術力をもつセキュリティエンジニアがサイバー犯罪者と同様の思考に基づく攻撃を実施することで、スマートフォンアプリに潜む脆弱性を顕在化させます。
アプリサービスごとの仕様や特性を把握し、様々な攻撃を戦略的に試行することにより、一般的な脆弱性診断サービスや脆弱性スキャナでは発見出来ない脆弱性までも徹底的に洗い出し、アプリの信頼性向上に貢献します。

スマートフォンアプリに関するペネトレーションテストのイメージ。

スマートフォンアプリ脆弱性診断とは

スマートフォンアプリ脆弱性診断とは、iOSやAndroidで動作するモバイルアプリケーションおよびWeb APIに内に潜在するセキュリティリスクを洗い出す手法です。

データ漏洩、不正アクセス、クラッキングなどのリスクを検出し修正することで、ユーザーのデータやプライバシーを確保した信頼性の高いモバイルアプリケーションの提供が可能になります。

機密性を重視した依頼を送る際はこちらからお願いいたします。

cdiprivacydummy@protonmail.com

スマートフォンアプリ脆弱性診断サービスの詳細

特徴

あらゆる環境のアプリケーションに対応

当研究所のスマートフォンアプリケーション診断は、高度な技術を持つ一流のセキュリティエンジニアがiOS / Androidのスマートフォンアプリケーションの仕様を正確に理解したうえで、動的解析および静的解析によりセキュリティ上の問題点を洗い出します。TCP、UDP、SIP、WebSocketをはじめとする様々な通信プロトコルやSwift、Apache Cordova、React Nativeといった多様なクロスプラットフォーム環境に対応いたします。

深く、多角的な脅威分析

当研究所の脅威分析は脆弱性単体の評価にとどまりません。 ビジネスロジックを理解したうえで発見した脆弱性がビジネスに与えるインパクトを評価すること、また複数の脆弱性の組み合わせによって実行可能な攻撃を分析することにより、貴社に生じうる真の脅威と優先して対処すべき課題を明確にします。

柔軟なサービス、きめ細やかなフォロー

オンサイト作業、即日中の速報提出、改修箇所の確認など、お客さまのご要望に応じたきめ細やかなサービスを提供いたします。

サイバーディフェンスが誇る専門チーム

サイバーディフェンス研究所には、国際的なCTF入賞経験のあるエンジニアに代表される優れたペネトレーションテスターに加えて、法執行機関での勤務経験者、脅威リサーチャー、重要インフラ制御システムの開発者など様々な専門性を持ったエキスパートが在籍しています。


サイバーディフェンス研究所なら、顧客の事業リスクを正確に捉え、守るべき対象を深く理解し、攻撃者と同様の思考に基づき卓越した攻撃を実行することによって、真の脅威を顕在化させるだけでなく、実効性のある対策の助言が可能です。

情報セキュリティサービス基準に適合

当研究所のスマートフォンアプリ脆弱性診断は、経済産業省が定める『情報セキュリティサービス基準』に適合したサービスとして、『情報セキュリティサービス基準適合サービスリスト』に登録されています。

これは特定営利活動法人日本セキュリティ監査協会(JASA)による審査を経て、一定の技術的要件および品質管理要件を満たし、品質の維持向上に努めている情報セキュリティサービスであることを示すものです。



スマートフォンアプリ脆弱性診断の診断項目

No.タイトル概要
1. 認証セッション管理 認証セッションの発行、更新、破棄といった一連のサイクルにおける問題の有無を特定する他、強度の妥当性について検査します。
2. 認証Cookie 認証セッションにCookieを利用している場合、Cookieに付与される属性を検査します。
3. 入出力値検証 SQLインジェクションやクロスサイトスクリプティング、ディレクトリトラバーサル等の攻撃の起点になり得る入出力箇所を検査します。
4. リクエストの正当性 クロスサイトリクエストフォージェリ(CSRF)など、ログインした利用者又は何らかの処理を実行しうる利用者が、処理を意図せず実行させられてしまう可能性について検査します。
5. ロジック 課金やポイント処理等の不正利用の可能性について検査します。
6. アクセス制御 各利用者に与えられた権限以外の操作ができる可能性について検査します。
7. 重要な情報の管理 パスワードやクレジットカード、住所等の個人情報の取り扱い方法の妥当性について検査します。
8. メール送信機能 メール送信機能が存在するサービスの場合、宛先や本文等を不正に設定されることでスパムメールに利用される可能性や、連続大量送信等の迷惑行為を受ける可能性について検査します。
9. プラットフォームセキュリティ プラットフォームの設定 Webサーバやアプリケーションプラットフォームの設定不備による問題(ディレクトリリスティング、デフォルトエラーページなど)や暗号化通信(SSL)の適用状態などを検査します。

スマートフォンアプリ脆弱性診断の流れ

Step1. 事前調査

まず診断対象となるアプリケーションに関するヒアリングシートをご記入いただきます。その後弊社の方で診断対象となるアプリケーションの用途や実装機能を把握するための入念な事前調査を実施し、お客様の要望を考慮した診断方法の検討とスケジュールの調整を行います。 その後に費用のお見積もりと診断内容をご提案いたします。

Step2. 契約手続き

お見積もりと診断内容をご確認のうえ、問題がなければ診断実施のスケジュールを決定し、ご契約手続きを行います。

Step3. 診断準備

診断を実施するに際し影響を受けるおそれのある全ての関係者様に対して事前に周知を行っていただき、診断実施の社内共有をお願いしています。

Step4. 診断実施

対象となるアプリケーションに対して、攻撃者の視点で擬似的な攻撃を行います。SQLインジェクションやクロスサイトスクリプティングなどによる脅威の有無、ユーザの権限を超えた操作の可否などを検証します。
また、脆弱性を検出した場合、該当箇所のURLと想定される脅威、推奨する対策方法などを記載した速報を提出いたします。これにより危険度の高い脆弱性に対して迅速に対処いただくことが可能です。(速報は原則として診断当日の19:00までにメールで提出するものとし,提出時間に変更がある場合は事前にご連絡いたします。)

Step5. 脅威分析

脆弱性が発見された場合、個別の脅威だけでなくそれらの組み合わせによって大きな脅威となりうる可能性も考慮した入念な分析を行います。

Step6. 結果報告

スマートフォンアプリ脆弱性診断の結果を報告いたします。結果を総括した総合評価となる「エグゼクティブサマリ」と発見された脆弱性の危険度、脆弱性を利用して成功した攻撃の分析レポート、推奨対策などを細かく記載した「脅威シナリオ」からなる報告書を納品いたします。

スマートフォンアプリに関する脆弱性診断(ペネトレーションテスト)の一連の流れ。診断対象の選定や費用の見積もりといった事前調査、診断の日程を調整してからの契約手続き、診断準備を経て実際に診断を実施いたします。診断後は結果を分析して報告書を納品し、修正箇所に関する再診断を行います。

スマートフォンアプリ脆弱性診断の費用

対象アプリケーションの仕様、構成、規模などを伺った上で最適なお見積りをご提案致します。予算に応じた診断範囲をご提案することも可能です。下記お問い合わせよりお気軽にご相談ください。


その他のセキュリティ診断(脆弱性診断)サービスについて

サイバーディフェンス研究所ではアプリケーションのみならず、ネットワークや組み込みデバイス、制御システムなどを対象に、一流のセキュリティエンジニアによる高品質な診断サービスを提供しています。セキュリティ課題の解決ならサイバーディフェンスにご相談ください。

機密性を重視した依頼を送る際はこちらからお願いいたします。

cdiprivacydummy@protonmail.com