セキュリティ診断

スマートフォンアプリ脆弱性診断

Overview

スマートフォンアプリ脆弱性診断サービスの概要

「スマートフォンアプリケーション脆弱性診断」とは、専用の解析用PCを用いて、スマートフォンアプリケーションおよび連携しているサーバのAPIに対して、インターネット経由で脆弱性診断を実施するサービスです。

本サービスでは、アプリケーションのコードや設定、通信プロトコルなどを詳細に分析し、潜在的な脆弱性を特定します。具体的には、認証や認可の不備、データ暗号化の欠如、不適切なセッション管理、インジェクション攻撃の可能性など、多岐にわたるセキュリティリスクを評価します。

こんな方におすすめ

新規スマホアプリリリース前に脆弱性やチート可能箇所がないか調べたい
既存スマホアプリの脆弱性/チート可能箇所の有無を改修時/定期的にチェックをしたい
脆弱性に対して攻撃を受けてしまった（予兆があった）ので早期に改善したい

スマートフォンアプリ脆弱性診断を怠ることで想定されるリスク

スマートフォンアプリ脆弱性診断を怠ると、さまざまな深刻なリスクが発生する可能性があります。

まず、個人情報の漏洩が挙げられます。アプリケーションに脆弱性が存在すると、悪意のある攻撃者がユーザーの個人情報にアクセスし、不正に利用する危険性が高まります。これにより、ユーザーの信頼を失うだけでなく、法的な問題に発展することもあります。

次に、不正アクセスのリスクも無視できません。脆弱性を突かれることで、攻撃者がアプリケーションの管理者権限を取得し、システム全体にアクセスする可能性があります。これにより、データの改ざんや削除、さらにはサービスの停止といった重大な被害が発生する恐れがあります。

スマートフォンアプリ脆弱性診断サービスの特徴

熟練のエンジニアによるアプリ、APIへの高精度診断

多数の診断経験に基づく、重要箇所の把握
API通信上の脆弱性のみではなくアプリケーションの解析も実施
脆弱性による個人情報漏洩に加えチート行為の防止にも寄与

分かりやすく詳細な診断レポート・報告会

事業への影響度を中心としたエグゼクティブサマリ
サービスごとの脅威を加味した危険度の判定
再現方法、対策方法を中心とした詳細レポート(脆弱性種別ごと)

アジャイル開発のスピードにも対応可能

規模やスピード感に応じて専任診断チームを構築
開発ライフサイクル内への組み込みも可能
デポジット契約にて都度の契約対応も不要

情報セキュリティ
サービス基準

弊社の「脆弱性診断サービス」は、「情報セキュリティサービス基準適合サービスリスト」（経産省）に登録されています

※登録している診断サービスメニューとしては「Webアプリケーション脆弱性診断」「プラットフォーム脆弱性診断」「スマートフォンアプリケーション脆弱性診断」となります。

経済産業省では、情報セキュリティサービスについて、⼀定の品質の維持・向上に努めていることを第三者が客観的に判断し明らかにするための基準として、情報セキュリティサービス基準を設けて公表しています。弊社の脆弱性診断サービスは、「情報セキュリティサービス基準」に準拠し、認定登録されています。

情報セキュリティサービス基準審査制度：https://sss-erc.org/
弊社サービス掲載ページ：
https://sss-erc.org/iss_books/020-0012-20/

スマートフォンアプリ脆弱性の診断方法

APIの診断

スマートフォンからインターネット経由でAPIにアクセスしてブラックボックスでAPIを診断

静的解析

スマートフォンアプリケーション開発の経験があるエンジニアにより目視でソースコードを診断

動的解析

専用のPCで実行プログラムを動作させ、不正な動作を調査・デバッガーを用いてプロセスアタッチを行い、アプリケーションのリソースを解析逆アセンブルを行いソースコードを解析

無料で資料を
ダウンロードする

お見積りを
依頼する

スマートフォンアプリ脆弱性の診断項⽬⽐較表

○	動的解析で診断できる項目
△	静的診断すると精度よく検出できる項目（動的診断でも可）
ー	機能がないため診断対象外の項目

カテゴリー	診断項目	iOS	Android
データ保護	アカウント情報の保護	○	○
	アプリケーションログ	△	○
	キーボードキャッシュの無効化	○	○
	クリップボードの許可状況	○	○
	パスワードやPINの画面表示	○	○
	OSバックアップファイルへの機密データ出力	△	ー
	共有ファイルの利用状況	○	○
	キャッシュファイルの利用状況	○	○
	最低限のパーミッション設定	○	○
	機密データ利用目的への説明	○	○
	機密データのメモリロードと破棄状況	○	○
暗号化	暗号化キーのハードコーディング	△	○
	脆弱な暗号化方式の採用	△	○
	脆弱な暗号化アルゴリズムの利用	△	△
	暗号化キーの使いまわし	△	△
	乱数ジェネレーターの強度	△	△
認証とセッション管理	認証処理の不備	△	△
	セッションIDの生成方法	○	○
	ログアウト	○	○
	パスワードポリシー	○	○
	不適切なバイオメトリクス認証の実装	△	ー
	ログイン通知機能の不備	○	○
ネットワーク通信	TLSの利用	△	△
	SSL証明書の検証不備	△	△
	証明書ストアの利用方法	△	○
プラットフォームAPI	不要なAPIの使用	○	○
	データ入力値へのチェック処理	○	○
	カスタムスキームの利用状況	○	○
	危険なスキームの利用	○	○
	WebViewのJavascriptアクセス	ー	○
	危険なIMEIやUUIDの利用方法	△	△
	危険なシリアル化APIの使用	△	△
プログラムコードとビルド設定	不適切なプロビジョニング	○	ー
	デバッグモードの有効化	△	△
	デバッグシンボルの削除状況	△	○
	利用コンポーネントの既知の脆弱性	△	△
	エラーハンドリング状況	○	○
	セキュリティコントロールのエラー設定状況	○	ー
	メモリリークやメモリ保護の状況	△	△
	スタック保護やPIEサポートの設定状況	△	△
リバースエンジニアリング	不適切なRootチェック	○	○
	不適切なエミュレータチェック	○	○
	機密データのメモリへの直接ロード	△	△
	データ改ざん検知機能の有無	○	○
	リバースエンジニアリングツールの検知	○	○
	デバッグプロトコルの許可状況	△	△
	プログラムコードの難読化	○	○
サーバーAPI	※Webアプリケーション脆弱性診断の診断項目を参照のことリンク掲載

閉じる

サービスの流れ

1:事前準備

診断対象アプリに関する情報を弊社フォーマットのヒアリングシートに記載していただき、御見積/スケジュール（仮）をご提示いたします。

2:診断日程確定

正式にご発注後、診断スケジュールを確定いたします。

3:診断準備

診断に必要なアカウントのご準備をしていただき、弊社にてアクセス確認を行います。

4:診断実施・報告書納品

確定したスケジュールで診断を実施し、報告書を納品いたします。再診断の実施及び報告書の内容に関するお問合せをお受けします。

※報告書納品から3か月

診断サービス約款

EGセキュアソリューションズ株式会社（以下、「当社」といいます。）が提供する脆弱性診断業務（以下、「本業務」といいます。）を利用していただくには、「脆弱性診断サービス利用約款」（以下、「本約款」といいます。）に同意のうえ、本約款を遵守していただく必要があります。
また、本約款は、本業務を利用するお客様と当社との間で定めるものです。

脆弱性診断サービス利用約款