SERVICE サービス
スマホアプリ脆弱性診断
アプリ特有の脆弱性を調査し、情報漏洩や不正利用のリスクを未然に防ぎます
ポルトが解決できる課題
こんなお悩みはありませんか?
- 新しいアプリのセキュリティが不安
- アプリを解析されたり、悪用されないか不安
- 長く運用しているアプリが、新しい脆弱性正しく対応できているか不安
サービス概要
スマホアプリを通じた情報漏洩や不正アクセスを防止し、ユーザーの安全を確保します。
スマホアプリ診断では、設定ファイルなどの調査を行う「静的診断」と、実際にアプリを実行させて調査を行う「動的診断」を組み合わせて診断します。
アプリを解析(リバースエンジニアリング)し、内部に隠された脆弱性と通信に関連した脆弱性の双方を検証します。
サービスの特徴
経験豊富なエンジニアによる実践的な診断
業種やサービスの特性を理解した上で、最適な診断手法を用いてセキュリティリスクを検証します。
また、セキュリティに詳しくない方でも理解できるよう、検出された脆弱性によってどのようなリスクが発生する可能性があるのかを分かりやすく説明します。
Windowsアプリも診断可能
OS特有の機能や仕様に応じて、診断します。
脆弱性診断プラン
ご予算や優先度に応じて、柔軟にプランをご提案
ライトプラン
- 概要
-
バイナリファイルに対し、静的解析でスマホアプリ自体の脆弱性を網羅的に診断
- 診断ポイント
-
- 設定の不備やデータ保存、SSL/TLS証明書など基本的な脆弱性を洗い出す
- こんな方向け
-
セキュリティの現状が気になる方や、対策に費用をかけづらい企業向け
アドバンスドプラン
- 概要
-
静的診断に加え、動的診断の側面からも解析し、アプリケーション全体の処理を網羅的に検証
- 診断ポイント
-
- WebViewや外部連携機能、通信面の高度な脆弱性を調査
- こんな方向け
-
スマホアプリを軸としたサービスがメイン事業の企業向け
業務の流れ
お見積もり
- 当社作業
-
- NDA締結
- 診断対象確認
- 対象一覧作成
- 貴社作業
-
- NDA締結
- 診断環境準備
- データ作成
発注
- 当社作業
-
- 見積書送付
- 診断期間調整
- 貴社作業
-
- 発注内容確認
- 発注書送付
診断
- 当社作業
-
- 環境確認
- 脆弱性診断
- 貴社作業
-
- 発注内容確認
- 発注書送付
報告書
- 当社作業
-
- 脆弱性精査
- 証跡確保
報告会
- 当社作業
-
- 必要に応じて実施
※現地開催の場合は、オプション料金
- 必要に応じて実施
納品
- 当社作業
-
- 報告書送付
- 請求書送付
- 貴社作業
-
- 報告書確認および検収
再診断
- 当社作業
-
- 再診断無料
※現地開催の場合は、オプション料金
- 再診断無料
- 貴社作業
-
- 脆弱性診断修正
- 診断環境準備
診断観点
株式会社ポルトでは、専門家が以下の観点で脆弱性診断を実施します。
記載のない観点においても、検出した脆弱性は報告書にまとめて記載します。
| カテゴリ | 脆弱性調査例 | 脆弱性調査概要 |
|---|---|---|
| 設定ファイルの調査 | バックアップ機能、デバッグ機能 | アプリのセキュリティが低下してしまう可能性がある設定項目について調査します。 |
| バックアップ・リストア攻撃の調査 | バックアップ機能が有効 リストア | バックアップ機能を利用して、アプリ権限外でデータを漏えい・改ざん出来てしまわないか調査します。 |
| データ保存の調査 | ファイルパーミッション不備、外部ストレージへの保存、用意に解読可能な暗号による保存 | アプリ権限外でデータが漏洩してしまわないか調査します。 |
| Webview関連の脆弱性の調査 | オリジンの制御不備、JavaScript | ネイティブ間連携 ・中間者攻撃や他の攻撃手法と組み合わせて、Webviewの機能に攻撃し、情報漏えいや不正利用などが出来るか調査します。 |
| SSL/TLSサーバ証明書の検証不備の調査 | オリジンの制御不備、JavaScript | WebviewなどSSL/TLSサーバ証明書の検証不備 ・自己署名や不正なホスト名による証明書などがサーバから提示された場合に、アプリが許容してしまわないか調査します。 |
| 秘密情報の埋め込み調査 | クラウドサービスの秘密鍵 | 公開してしまった場合に、アプリやサーバが被害を受ける可能性のある情報がないか調査します。 |
| 外部連携機能 | Activity/Service/ContentProvider/Receiver、カスタムスキーム | 外部連携機能において、アプリ権限外での情報漏えいや不正利用などを調査します。 |
| ログ出力の調査 | ログ機能 | アプリ間におけるログの漏洩 ・ログ出力が漏洩可能かどうか調査します。 ※ご要望次第では、パラメータを頂ければ通常利用時にユーザに見られてはいけない情報についても調査します。 |
| 平文通信の調査 | 重要情報の平文通信による情報漏えい | 平文通信において、重要情報を送信していたり、その他の問題と組み合わせて情報が漏えいしてしまわないか調査します。 |
| 認証の調査 | 端末固有情報を利用した認証 | 推測可能もしくは外部から容易に入手可能な情報をパラメータとして認証を行っていないか調査します。 |
| その他 | 調査項目の一覧に記載出来なかったアプリの設計による特殊な問題についても、一般的に脆弱だと認識出来るものについては発見次第指摘致しますが、ご相談次第ではその他の項目も調査致します。 | ●SSL/TLS証明書のピン止めの有無の調査 ●Jailbreak検知の有無の調査 ●難読化の有無の調査 ●クリップボードの調査 ●タスク一覧のスナップショットにおける情報漏えいの調査 ●カスタムキーボードにおける情報漏えいの調査 ●App Storeにリリースされたメモリダンプによる情報の復号が必要なアプリの調査 ●パッケージ改ざん(海賊版アプリ等)の作成の対策が行われているかどうかの調査 |
関連する診断サービス
よくある質問
一般的には、サービス公開前や大きな機能追加・改修のタイミングでの実施が推奨されています。
また、運用中のサービスでも定期的に診断を行うことで、新たに発見された脆弱性や設定変更によるリスクを早期に発見することができます。
基本的には、本番環境と同じ構成の診断用環境(検証環境)での実施を推奨しています。
脆弱性診断では疑似攻撃を行うため、本番環境で実施するとデータベースの不整合やサーバーへの負荷など、予期しない影響が発生する可能性があります。
安全に診断を行うためにも、診断用の環境をご用意いただくことを推奨しています。
診断費用は、各サービスの違いに基づく見積りと、見積方法に基づく違いがあります。
◯Webアプリ/API診断
・画面遷移図からの概算見積り
診断対象が開発前や開発途中で場合である場合、処理がわかる遷移フローや全体の画面遷移図から見積りを行います。
想定される機能や処理から、1画面のリクエスト数を想定しお見積りします。
・クローリングによる見積り
クローリングと呼ばれるサイト巡回作業により、診断対象のリンクやボタンを押下し、HTTPリクエスト(通信)数をカウントします。
データ登録・更新処理などを中心に、診断の優先度の高いリクエストを選定し、お見積りします。
◯CMS診断/プラットフォーム診断など
・ドメイン単位でのお見積り
ドメイン数×スキャン実行数を元にお見積りします。
診断で検出された脆弱性は、再現手順と合わせて、修正方法・推奨される対策をまとめた報告書を作成いたします。
実際の修正作業は、報告書をご参考にお客様の開発チームにて行っていただきます。
また、修正後の「再診断」は1度まで無料でご案内しております。