モバイルアプリ脆弱性クイック診断
モバイルアプリ向けセキュリティサービスのご紹介
以下の企画に準拠したサービスを提供いたします。
- OWASPモバイルセキュリティテストガイド(MSTG)-最新版
- OSSTMM
- NIST-SP800-115 情報セキュリティ検査技術基準
- NIST-SP800-163 サードパーティAPPテスト技術仕様書
人工知能ベースの最適化シード選択ファジング法により、未知のシステムの脆弱性を発見し、防御策を迂回させることが可能な検査方法を確立しています。
ヒューリスティック・ベースのアプローチとツリー分析を用いて、脆弱性の完全な検査を行います。
モバイルアプリクイック診断レポートとして
Mobile App Security Checklistの内容もご提供
| モバイルアプリクイック診断 | モバイルアプリ向けペネトレーションテスト | |
| 診断対象 | モバイルアプリパッケージ単体 (iOS、Android) | モバイルアプリパッケージ(iOS、Android) モバイルアプリ接続先サーバー/システム |
| 診断基準 | OWASP Top10 Mobile Risks (サーバー側が関連するM4,M6を除く)等 | OWASP Top10 Mobile Risks、OSSTMM、PCI DSS外部ペネトレーションテスト など(応相談) |
| 特徴 | モバイルアプリパッケージ単体に対する高速なツール診断 サーバーへの接続は一切不要です | モバイルアプリならびに接続先システムを含めた網羅的な脆弱性診断とペンとレーションテストを実地 |
| 診断手法 | 弊社同時ツールによる自動診断 (パッケージをご提供いただき診断) | セキュリティエンジニアによるAIツール+手動リモート診断 |
| 課金体系 | アプリケーションパッケージ当たりの定額料金 | サブドメイン/FQDN単位の定額料金 (Web以外のペネトレーションテストではIP等ホスト単位で課金) |
| 72万円 | 102~194万円(対象機能により単価が異なります) | |
| 診断期間(目安) | 1日間 | 3週間 |
| 報告形式 | セキュリティエンジニアによるレビュー済み報告書 | セキュリティエンジニアによるレビュー済み報告書+報告会 |
| 北酷暑ご提供納期(目安) | 7営業日 | 15営業日 |
モバイルアプリクック診断では、サーバー側のM4とM6を除く、アプリケーション単体のセキュリティリスクを診断します
| モバイルアプリ診断 | ペネトレーションテスト | ||
| M1-Improper Platform Usage | プラットフォームの不適切な利用 |  | |
| M2-Insecure Data Storage | 安全でないデータストレージ | | |
| M3-Insecure Communication | 安全でない通信 | | |
| M4-Insecure Authentication | 安全でない認証 | | |
| M5-Insufflcient Cryptography | 不十分な暗号化 | | |
| M6-Insecure Authorization | 安全でない認可 | | |
| M7-Client Code Quality | クライアントコードの品質 | | |
| M8-Cdode Tampering | コードの改ざん | | |
| M9-Reverse Engineering | リバースエンジニアリング | | |
| M10-Extraneous Functionality | 無関係な機能 | | |
| 診断項目 | 診断内容 |
| 権限とマニフェスト分析 | 攻撃者が特権昇格したり、アプリケーション内部のデータを変更したりすることを可能にする権限の問題があるかどうかをスキャンします。また、アプリケーションが過剰に不合理な権限を要求しているかどうかもスキャンします。さらに、他の悪意のあるアプリケーションがテスト対象のアプリケーションにフックして感染し、データ漏洩やアプリケーションの侵害を引き起こす可能性があるかどうかもスキャンします。 |
| バイナリとコードの分析 | コードをデコンパイルし、アプリケーション内部の脆弱性をスキャンします。SQLインジェクション、ハードコードされたパスワード、ストレージの安全でない使用方法、ロジックフロー、JailBreakやルート検出などの問題を探索し、アプリケーションの侵害を引き起こす可能性のある多数のベクトルを検査します。 |
| ネットワーク通信診断 | アプリケーション内部で通信されるドメイン名やIPアドレスを探します。ドメイン名やIPアドレスの中には、侵害されたり、誤って指定されたり、悪者によって注入されたりするものがあります。当社のスキャナは、各通信先を自動的にチェックします。認知の問題と一致するマルウェアとC&Cサーバーの識別も実地されます。 |
| 証明書の警告 | 証明書が有効かの確認のほか、隠し証明書が無いか、また、中間者攻撃防止のために証明書のピン止めがされているかをスキャンします。多くのアプリケーションでは証明書のチェックを適切に実地出来ていないことで中間者攻撃につながり、データ漏洩の原因となります。 |
| ファイル解析 | アプリケーションの実行中に、何らかの動作を達成するため、ファイルが読み込まれたり、書き込まれたり、実行されることがあります。当社のスキャナは、攻撃者がファイルを利用してアプリケーションのセキュリティ問題を引き起こす可能性があるかどうかをチェックします。例えば機密情報がファイル内に保存されているかどうか、攻撃者がファイルを変更してロジックフローを変更する可能性があるかどうかなどをチェックします。 |
| コンポーネントの列挙 | アプリケーションで使用されているコンポーネントをチェックします。コンポーネントの中で、脆弱性が含まれていたり、古くなっているものを指摘します。 |