スマートフォンアプリケーションの脆弱性が問われる中、サーバ検査・クライアントアプリケーション検査を通じ、利用者情報が適切に取り扱われているかを診断するサービスです。
本診断は、総務省が提言する「関係事業者向け スマートフォン利用者情報取扱指針」で示された6つの基本原則を考慮した診断です。
* 平成27年度情報通信白書のデータに基づく
サイバー保険付帯 | 詳細を見るサーバ、アプリそれぞれに診断を行い、双方の結果を分析・統合し、レポートを作成いたします。
スマートフォン向けアプリケーション(iOSおよびAndroid版)および同アプリケーションと通信を行うサーバAPI
クライアントアプリそのものに対するソースコードの静的解析を実施致します。 ウイルスやその他のコードにより、スマートフォンのOS経由で専用アプリが攻撃される可能性をソースコードレビューで発見致します。また、重要情報(個人情報、クレジットカード情報等)の保持形態についても検査を行い、保存先や適切な暗号化がなされているかという観点でリスク分析致します。
従来のWebサイトと同様に、API、ネットワーク、Webアプリケーションに対するペネトレーションテストを実施致します。特に、Webシステムの場合は、各種インジェクションに代表される情報漏えいへ直結する攻撃や、XSSを悪用したセッション乗っ取り、ドライブバイダウンロードといった間接的に被害を拡大させる攻撃が存在するため、豊富な診断実績をもとにしたリスク分析をご提供致します。
認証 | Cookieの取り扱いに関する調査、セッションIDに関する調査、クロスサイトリクエストフォージェリ |
---|---|
入出力処理 | クロスサイトスクリプティング、SQLインジェクション、コマンドインジェクション、ディレクトリトラバーサル、ファイルアップロード、パラメータ推測 |
一般的な脆弱性 | 既知のソフトウェア脆弱性、強制ブラウジング、ディレクトリリスティング |
Webサーバ設定 | システム情報の開示、サーバエラーメッセージ |
不正通信の確認 | 外部サーバへの個人情報/機密情報の不正送信の有無を確認します。 |
---|---|
HTTPレスポンス診断 | アプリの入力となるHTTPレスポンスをキャプチャ・改竄することによってアプリの脆弱性診断を行います。 |
HTTPリクエスト診断 (Web API診断) |
通常のWebアプリ診断と同様の内容です。サーバ側の脆弱性診断を行います。 |
端末内データの不備 | 端末内のファイル(Database,Preference等含む)などにパスワードや個人情報などのデータを平文で保存していないことを確認します。 |
---|---|
端末内データ改竄による 不正行為 |
端末内データを改竄することによる不正行為(チート、残高偽装、購入履歴偽装等)の可否を確認します。 |
パーミッションの設定不備 | 重要情報を含むファイルが他アプリからアクセスできるパーミッションになっていないかを確認します。 |
SDカードへの機密情報の出力 | 他アプリからアクセス可能なSDカード内へ個人情報/機密情報を保存の有無を確認します。 |
ログへの機密情報の出力 | ログにユーザの個人情報/機密情報の出力の有無を確認します。 |
コンテントプロバイダからの アクセス制御不備 |
個人情報/機密情報へアクセス可能なコンテントプロバイダが意図せず他のアプリから不正にアクセス可能かを確認します。 |
耐タンパー性の確認 | 逆コンパイルの可否や難読化の有無等を確認します。 |
---|---|
リバースエンジニアリング による脆弱性解析 |
リバースエンジニアリングによる脆弱性の解析を行います。 |
ソースコードへの 機密情報の出力有無 |
逆コンパイルしたソースコード内に暗号化キーや隠し機能、隠しURL等の情報がハードコーディングされていいかを確認します。 |
通信プロトコルの解析 | HTTP以外のプロトコルが使われている場合は解析し、脆弱性の有無を確認します。 |
WEBサイトを攻撃するハッカーの手法を用いて、外部から動的に脆弱性を診断することで、不正アクセスの入口となる可能性のある箇所を検出します。診断は最新のセキュリティ情報に基づき実施されますので、開発時の脆弱性初期診断だけでなく、定期的な実施など既存システムの脆弱性対策の確認にも活用することをおすすめしています。
業界ベンチマーク+第三者視点のチェックで課題解決を加速します。
AWS利用事業者に対し、その設定が正しいか否かを、セキュリティの専門家目線チェック。安全なクラウド利用に効果を発揮します。