スマートフォンアプリの脆弱性診断サービス

saat アプリ診断

SDK image

モバイルサービスの安全な運用をサポート

スマートフォンアプリの
脆弱性診断・対策支援サービス

「saat(サート) アプリ診断」は、スマートフォンアプリのセキュリティリスクを解析し、対応に至るまでフォローするサービスです。

  • iOS
  • Android
  • Web API

サート・アプリ診断とは?

サート・アプリ診断は、iOS/Androidアプリの脆弱性診断サービスです。
スマートフォンが普及し、アプリ開発の難易度も下がることで、多くのモバイルサービスが提供されるようになりました。一方で、脆弱性を抱えたアプリは増加傾向にあり、情報漏えいなどのリスクが問題となっています。
サート・アプリ診断ではアプリの脆弱性を調査することで、モバイルサービスの安全な運用と、持続的なセキュリティ対策をサポートします。

人物像 人物像

スマホで金融サービスを提供するが、ハッキングへの対策は充分か?

いま配信しているアプリは個人情報を扱っているが、情報漏えいが心配…

有料コンテンツが外部に流出したら大損害。しっかり守れているのか?

アイコンアプリのリスクに関する悩みを サート・アプリ診断 が解決します!

脆弱性診断の特長

金融機関を中心に導入されたセキュリティソリューションの知見から、豊富な調査・診断ノウハウを蓄積。OWASP (※1) のMobile Top10とJSSEC (※2) のモバイルアプリセキュリティガイドに基づき、スマートフォンアプリのセキュリティリスクを広範囲かつ効果的に診断します。さらに、アプリが参照するWebサービス(APIサーバ)も診断対象とすることで、アプリが提供するモバイルサービス全体のセキュリティ性を評価できます。

  • (※1) OWASP(Open Web Application Security Project):ウェブアプリケーションのセキュリティ向上を目的とするコミュニティ
  • (※2) JSSEC:日本スマートフォンセキュリティ協会
lenz icon

攻撃者視点の診断を実施しリスクの程度も把握可能

診断項目から認められた脆弱性に対し、攻撃者視点でスペシャリストが診断。攻撃の成立度合いから、リスクの程度も判定します。ペネトレーションテスト(オプション)にも対応しています。

cord icon

サンプルコードの提供で対策の実施を容易に

診断結果の報告では、攻撃手法と対策の双方をサンプルコードで提示します。診断の目的であるセキュリティ対策を、アプリ開発者が容易に実施できるよう支援します。

clipboard icon

対応状況もフォローして着実なセキュリティ対策へ

サート・アプリ診断では、脆弱性への対応状況を再診断します。診断報告後もフォローアップを行うことで、診断対象となったアプリのセキュリティ性向上に貢献します。

診断項目

Android診断項目

App パッケージ
  • ソースコードの難読化
  • Manifest ファイルの適切な権限設定
  • ソースコード上の重要情報露出の確認
App ディレクトリ(Sandbox)
  • アプリが生成するファイル上の重要データ露出の確認
  • DBファイル上の重要データ露出の確認
App 実行(プロセスメモリ・ネットワーク使用)
  • 平文通信内の重要データ転送可否の確認
  • Hacking Phone(Rooting) 検知実装の確認
  • App 改ざん検証機能の実装の確認
  • メモリ上の重要データの露出の最小化設計の確認
  • ログ出力内容の確認
  • 有料コンテンツの盗用可能性の確認
  • Intent 強制呼び出し対策実装の確認
  • 画面 Captureの対策実装の確認

iOS診断項目

App ヘッダー情報
  • Position Independent Executable (PIE) 適用可否の確認
  • Stack Smashing Protection (SSP)適用可否の確認
  • Automatic Reference Counting (ARC)適用可否の確認
App ディレクトリ(Sandbox)
  • ソースコード上の重要情報露出の確認
  • アプリが生成するファイル上の重要データ露出の確認
  • DBファイル上の重要データ露出の確認
  • アプリスナップショット保存防止機能の実装の確認
App 改ざん
  • Anti-Patch 適用可否の確認
  • デバッガー検知機能の実装の確認
App 実行(プロセスメモリ・ネットワーク使用)
  • 平文通信内の重要データ転送可否の確認
  • Hacking Phone(Rooting) 検知実装の確認
  • メモリ上の重要データの露出の最小化設計の確認
  • ログ出力内容の確認
  • ランタイム(プロセス流れ)操作可能性の点検

Webサービス(APIサーバ)診断項目

情報の露出
  • 不要ファイル・I/F・ページの露出の確認
  • 不適切なログイン結果メッセージの確認
  • アプリのコメント中の重要情報露出の確認
  • サーバエラーメッセージ露出の確認
  • デフォルトページ露出の確認
  • サーバ情報(OS、バージョンなど)露出の確認
重要情報の露出
  • 平文通信内の重要情報の確認
  • 平文通信内の主要情報(クライアントが類推できるデータ)確認
  • hidden パラメータ改ざん脆弱性の確認
  • 意図していないファイルのダウンロード脆弱性の確認
  • サーバ上のディレクトリリスティング露出脆弱性の確認
脆弱な認証・権限確認
  • ソースコード露出の確認
  • 推測可能なID/Password作成ルール脆弱性の確認
  • Brute-Force攻撃の対応設計の実装の確認
  • Cookie認証脆弱性の確認
  • 2重ログイン脆弱性の確認
  • 認証迂回脆弱性の確認
  • Cross-Site-Script 脆弱性の確認
  • CSRF脆弱性の確認
  • サービス管理用ページ露出・アクセスの確認
リモートコード実行脆弱性
  • Command Injection 脆弱性の確認
  • SQL Injection脆弱性の確認
  • Remote File Inclusion脆弱性の確認
  • 意図してないファイルアップロードの脆弱性の確認
その他
  • 意図していない Redirect/Forward 脆弱性の確認

診断フロー

診断対象の情報収集から結果報告まで、最短約4〜5週間程度で完了します。

1

情報収集(打ち合わせ)

約1週間

  • 診断対象リスティング
  • モバイルアプリ構造診断
  • ウェブ脆弱性スキャン(Hybridアプリの場合)
  • 収集情報リスティング

2

脆弱性分析・診断

約2週間

  • アプリ構造分析
  • アプリ脆弱性診断
  • ウェブ攻撃(Hybrid アプリの場合)
  • 重要情報奪取・悪用の可能性の評価

3

結果報告

約1〜2週間

  • 結果整理
  • 報告
  • 対応ガイドの案内

4

フォローアップ

  • アプリ脆弱性再診断
  • 脆弱性対応状況確認
  • 報告
  • ※診断開始には、診断対象となるアプリを操作できる環境をご用意いただく必要があります。
  • ※診断対象となるアプリの規模や制約事項などにより、スケジュールが変動する場合があります。
  • ※契約調整は診断期間に含まれません。

診断実績

これまでに弊社で実施した診断により、報告された診断結果の一例です。

2021年

診断対象
金融事業者 Webサービス
サービスページ
診断結果の一例(概要)
ログイン失敗回数の制限をかけていないため悪意ある攻撃が可能
総合評価危険度
D
診断対象
金融事業者 Webサービス
Webサービスサーバの外部ペネトレーションテスト
診断結果の一例(概要)
管理画面内で管理するファイルの一部が外部からアクセスが可能
総合評価危険度
D
診断対象
銀行アプリ
Android版
診断結果の一例(概要)
難読化が未対応(機密情報や重要な動作保護の不備)、ソースコードの分析が簡易的に可能
総合評価危険度
E
診断対象
銀行アプリ
iOS版
診断結果の一例(概要)
キャッシュディレクトリ内への重要情報の保存
総合評価危険度
B
診断対象
クレジットカード会社アプリ
Android版
診断結果の一例(概要)
OS権限奪取検知の不備
総合評価危険度
B
診断対象
クレジットカード会社アプリ
iOS版
診断結果の一例(概要)
アプリの改ざん検知不備
総合評価危険度
B
診断対象
クレジットカード会社アプリ
Android版
診断結果の一例(概要)
Runtime操作に対する保護の不整備
総合評価危険度
D
診断対象
クレジットカード会社アプリ
iOS版
診断結果の一例(概要)
操作中スナップショットイメージの保存可否を確認
総合評価危険度
B
診断対象
クレジットカード会社アプリ
管理者ページ(Webページ)版
診断結果の一例(概要)
セッション情報が残ることによる不正アクセスのリスク
総合評価危険度
D
診断対象
クレジットカード会社アプリ
管理者サーバ版
診断結果の一例(概要)
意図していないサービスへのアクセスを確認
総合評価危険度
B
診断対象
決済事業者システム
決済システムの外部ペネトレーションテスト(アプリケーション層)
診断結果の一例(概要)
同一アカウントにより2重ログインが可能となっており、2重ログイン中も同等な権限により業務処理が可能
総合評価危険度
E
診断対象
決済事業者システム
決済システムの外部ペネトレーションテスト(ネットワーク層)
診断結果の一例(概要)
WebサーバがHTTPS通信を強制していない
総合評価危険度
B
診断対象
金融事業者アプリ
Android版
診断結果の一例(概要)
ユーザ認証が不十分なため、別アカウントの一部データの閲覧が可能となる危険性あり
総合評価危険度
E
診断対象
銀行アプリ
iOS版
診断結果の一例(概要)
正常アプリのままアプリの動作を変更することが可能
総合評価危険度
B
診断対象
銀行アプリ
Android版
診断結果の一例(概要)
画面キャプチャー制限がされておらず、重要情報イメージの奪取が可能
総合評価危険度
D

2020年

診断対象
銀行アプリ
Android版
診断結果の一例(概要)
難読化が未対応(機密情報や重要な動作保護の不備)、OS権限奪取の検知の不備
総合評価危険度
E
診断対象
銀行アプリ
iOS版
診断結果の一例(概要)
OS権限奪取の検知が不十分、重要画像データの削除処理の不備による重要情報の流出の可能性
総合評価危険度
E
診断対象
銀行アプリ
接続先API
診断結果の一例(概要)
認証を迂回してサービスの重要な情報が奪取・操作される可能性あり
総合評価危険度
D
診断対象
クレジットカード会社アプリ
Android版
診断結果の一例(概要)
難読化が未対応(機密情報や重要な動作保護の不備)
総合評価危険度
D
診断対象
クレジットカード会社アプリ
iOS版
診断結果の一例(概要)
アプリの改ざん検知不備
総合評価危険度
B
診断対象
銀行アプリ
Android版
診断結果の一例(概要)
脆弱性無し
総合評価危険度
A
診断対象
銀行アプリ
iOS版
診断結果の一例(概要)
DB内の重要情報が平文で保存されているため情報漏洩の可能性あり
総合評価危険度
B

2019年

診断対象
Fintech事業者アプリ
Android版
診断結果の一例(概要)
OS権限奪取検知の不備、アプリの動作改ざんが可能
総合評価危険度
D
診断対象
Fintech事業者アプリ
iOS版
診断結果の一例(概要)
OS権限奪取検知の不備、脆弱性悪用によるログイン情報の奪取が可能
総合評価危険度
E
診断対象
Fintech事業者アプリ
接続先API
診断結果の一例(概要)
脆弱性無し
総合評価危険度
A
診断対象
銀行アプリ
Android版
診断結果の一例(概要)
OS権限奪取検知の不備、アプリの改ざん検知不備
総合評価危険度
D
診断対象
銀行アプリ
iOS版
診断結果の一例(概要)
OS権限奪取の検知が不十分、アプリの改ざん検知不備
総合評価危険度
D
診断対象
銀行アプリ
接続先API
診断結果の一例(概要)
APIエラー返却値の処理中に、意図的にエラーを発生させ情報奪取が可能
総合評価危険度
C
診断対象
銀行アプリ
Android版
診断結果の一例(概要)
OS権限奪取検知の不備、メモリ上の情報の奪取が可能
総合評価危険度
D
診断対象
銀行アプリ
iOS版
診断結果の一例(概要)
OS権限奪取検知の不備、操作中のスナップショットからの情報漏えい対策が不十分
総合評価危険度
D
診断対象
銀行アプリ
接続先API
診断結果の一例(概要)
認証データの処理が不十分なため、再利用による認証の迂回が可能
総合評価危険度
D
診断対象
クレジットカード会社アプリ
Android版
診断結果の一例(概要)
難読化が未対応(機密情報や重要な動作保護の不備)
総合評価危険度
C
診断対象
クレジットカード会社アプリ
iOS版
診断結果の一例(概要)
OS権限奪取検知の不備
総合評価危険度
B
診断対象
銀行アプリ
Android版
診断結果の一例(概要)
難読化が未対応(機密情報や重要な動作保護の不備)、不適切な暗号化によるデータ露出の可能性あり
総合評価危険度
E
診断対象
銀行アプリ
iOS版
診断結果の一例(概要)
不適切なログインセッション情報の保存状態による、なりすましログインの可能性あり
総合評価危険度
D
診断対象
銀行アプリ
Android版
診断結果の一例(概要)
認証を迂回してサービス利用を行うことが可能
総合評価危険度
D
診断対象
銀行アプリ
iOS版
診断結果の一例(概要)
OS権限奪取の検知の不備
総合評価危険度
D
診断対象
銀行アプリ
接続先API
診断結果の一例(概要)
認証を迂回してサービスの重要な情報が奪取・操作される可能性あり
総合評価危険度
E
診断対象
決済事業者システム
決済システムの外部ペネトレーションテスト(アプリケーション層)
診断結果の一例(概要)
CSVファイルとしてダウンロードされるデータを入力する際、適切なフィルタリングが無いため、攻撃コードを含んだCSVファイルの生成が可能
総合評価危険度
E
診断対象
クレジットカード会社アプリ
Android版
診断結果の一例(概要)
OS権限奪取検知の不備、アプリの改ざん検知不備
総合評価危険度
C
診断対象
クレジットカード会社アプリ
iOS版
診断結果の一例(概要)
OS権限奪取検知の不備、アプリの改ざん検知不備
総合評価危険度
C
診断対象
製薬会社アプリ
Android版
診断結果の一例(概要)
難読化が未対応(機密情報や重要な動作保護の不備)、OS権限奪取の検知の不備、メモリ上の情報の奪取が可能
総合評価危険度
E
診断対象
製薬会社アプリ
iOS版
診断結果の一例(概要)
OS権限奪取の検知が不十分、アプリの改ざんが可能
総合評価危険度
D
診断対象
製薬会社アプリ
接続先API
診断結果の一例(概要)
サーバ情報が閲覧可能箇所に記載があるため脆弱性利用の攻撃につながる危険性がある
総合評価危険度
D

2018年

診断対象
決済事業者システム
決済システムの外部ペネトレーションテスト(アプリケーション層)
診断結果の一例(概要)
管理者権限のアカウントでログインすると同一権限の他の管理者アカウントのパスワード初期化が可能
総合評価危険度
C

お問い合わせ・報告書サンプル

ネットムーブのお問い合わせフォームよりお問い合わせください。
報告書のサンプル請求も承ります。フォームの「お問い合わせの種類」から「資料請求」をお選びの上、「お問い合わせ内容」に「アプリ診断のサンプル希望」とご入力ください。折返し担当者より送付させていただきます。

報告書サンプル1 報告書サンプル2
お問い合わせ・サンプル請求はこちら

自社アプリへのセキュリティ機能導入をご検討のお客様

アプリにセキュリティ対策を実装するためのSDKをご用意しております。このSDKを組み込むことで、自社アプリにセキュリティチェックを実装いただけます。

詳しくはこちら