モバイルアプリケーション脆弱性診断サービス

モバイルデバイスを危機にさらすアプリケーション

様々な機微情報が詰まったモバイルデバイスは、攻撃者にとって魅力的なターゲットです。
脆弱性のあるアプリケーションを経由し情報を取得する、無害を装ったマルウェアも存在します。電話帳アプリが電話帳データにアクセスするのは当然のことですが、取得したデータを他のアプリに無制限に与えられる状態になっていたら、それは脆弱性となります。
機微情報を含むデバイスにインストールするアプリに脆弱性があると、お客様の情報を危機にさらすことになります。

モバイルアプリケーション脆弱性診断サービス

テクマトリックスが提供するモバイルアプリケーション脆弱性診断サービスは、スマートフォン向けアプリケーションに対するサービスです。Androidアプリに加えiOSアプリの検査にも対応した検査エンジンを活用し、バイナリ(APKファイル/IPAファイル)をベースとした診断を実施します。診断後に、弊社エキスパートによる診断結果の分析を行い、お客様への報告会を実施します。

サービス概要

モバイルアプリケーションのIPAファイル(iOS)、APKファイル(Android)に対する診断を実施して脆弱性を検出し、検査結果の精査・分析を行った上で結果を報告します。結果の内容は、お客様のソースコードを確認させていただくことで、修正箇所も含めたより詳細な報告を行うこともできます。

サービス概要図

診断項目の一例

  項目 解説
通信に関する問題 不正な通信の検出 想定するホスト以外への通信がなされていないか確認します。
SSL/TLSに関する問題 証明書検証の不備や脆弱な暗号化スイートの利用を検出します。
平文通信 平文での通信の有無を確認します。
アプリケーション・コードの問題 ハードコード・定数 暗号化鍵やトークンなど重要な要素がハードコードや定数として存在しないか確認します。
乱数・ハッシュ 安全ではない疑似乱数生成関数やハッシュ関数を用いていないか確認します。
インジェクション XSSやSQLインジェクションなどインジェクション攻撃が成立するか確認します。
データの取り扱い ファイルパーミッション ファイルのパーミッションや配置にミスがないか確認します。
OS標準機能を用いた漏洩 コピー&ペースト制御などOSの標準機能を利用したデータ漏洩の可否を調べます。
アプリケーション連携による
情報漏洩
アプリケーション間通信の制御に不備がないか確認します。
認証情報の保存 認証情報の保存や維持に不備がないか確認します。
アクセス制御の不備 アクセス制御が正しく行われているか確認します。
ログ出力の確認 機微情報がログとして出力されないか確認します。
アプリケーションの保護 Root化・JailBreak検出 Root化やJailBreakの検出を正しく行えるか確認します。

サービスの流れ

①ヒアリング

テクマトリックスにて用意したヒアリングシートを元に、検査環境や診断に必要な情報をヒアリングします。

②診断実施

対象Webアプリケーションに対して診断を実施し、結果を出力するとともに、緊急度の高いものについては速報をメールにてお知らせします。

③結果分析

診断結果を元に、発生確率や被害の影響度を分析し、対策の優先度まで含めた診断結果報告書を作成します。

④報告会

作成した報告書をベースに報告会を行い、各種対策のためのアドバイスや診断結果に対するQAを実施します。(QAは報告後1ヵ月までサポートします)

診断結果報告書

脆弱性の内容だけでなく、リスクの分析、対策の優先度を踏まえた形で作成した診断結果報告書を納品します。

診断結果報告書

定期診断/チケット診断

個別の診断だけでなく、定期的な診断やチケット制での診断もご用意しております。

DOWNLOAD 資料ダウンロード

脆弱性診断サービスに
関するお問い合わせ

  • テクマトリックス株式会社
    東京本社

    ネットワークセキュリティ事業部
    第3営業部
    セキュリティプロダクツ営業2課

    03-4405-7869

メールでのお問い合わせ
watchfire@techmatrix.co.jp

CONTACT

製品についてやテクマトリックスについてなど、
こちらよりお気軽にお問い合わせいただけます。