スマートフォンアプリの脆弱性診断サービス

SaAT アプリ診断

SDK image

モバイルサービスの安全な運用をサポート

スマートフォンアプリの
脆弱性診断・対策支援サービス

「SaAT(サート) アプリ診断」は、スマートフォンアプリのセキュリティリスクを解析し、対応に至るまでフォローするサービスです。

  • iOS
  • Android
  • Web API

SaAT アプリ診断とは?

SaAT アプリ診断は、iOS/Androidアプリの脆弱性診断サービスです。
スマートフォンが普及し、アプリ開発の難易度も下がることで、多くのモバイルサービスが提供されるようになりました。一方で、脆弱性を抱えたアプリは増加傾向にあり、情報漏えいなどのリスクが問題となっています。
SaAT アプリ診断ではアプリの脆弱性を調査することで、モバイルサービスの安全な運用と、持続的なセキュリティ対策をサポートします。

人物像 人物像

スマホで金融サービスを提供するが、ハッキングへの対策は充分か?

いま配信しているアプリは個人情報を扱っているが、情報漏えいが心配…

有料コンテンツが外部に流出したら大損害。しっかり守れているのか?

アイコンアプリのリスクに関する悩みを SaATアプリ診断 が解決します!

脆弱性診断の特長

金融機関を中心に導入されたセキュリティソリューションの知見から、豊富な調査・診断ノウハウを蓄積。OWASP (※1) のMobile Top10とJSSEC (※2) のモバイルアプリセキュリティガイドに基づき、スマートフォンアプリのセキュリティリスクを広範囲かつ効果的に診断します。さらに、アプリが参照するWebサービス(APIサーバ)も診断対象とすることで、アプリが提供するモバイルサービス全体のセキュリティ性を評価できます。

  • (※1) OWASP(Open Web Application Security Project):ウェブアプリケーションのセキュリティ向上を目的とするコミュニティ
  • (※2) JSSEC:日本スマートフォンセキュリティ協会
lenz icon

攻撃者視点の診断を実施しリスクの程度も把握可能

診断項目から認められた脆弱性に対し、攻撃者視点でスペシャリストが診断。攻撃の成立度合いから、リスクの程度も判定します。ペネトレーションテスト(オプション)にも対応しています。

cord icon

サンプルコードの提供で対策の実施を容易に

診断結果の報告では、攻撃手法と対策の双方をサンプルコードで提示します。診断の目的であるセキュリティ対策を、アプリ開発者が容易に実施できるよう支援します。

clipboard icon

対応状況もフォローして着実なセキュリティ対策へ

SaAT アプリ診断では、脆弱性への対応状況を再診断します。診断報告後もフォローアップを行うことで、診断対象となったアプリのセキュリティ性向上に貢献します。

診断項目

Android診断項目

App パッケージ
  • ソースコードの難読化
  • Manifest ファイルの適切な権限設定
  • ソースコード上の重要情報露出の確認
App ディレクトリ(Sandbox)
  • アプリが生成するファイル上の重要データ露出の確認
  • DBファイル上の重要データ露出の確認
App 実行(プロセスメモリ・ネットワーク使用)
  • 平文通信内の重要データ転送可否の確認
  • Hacking Phone(Rooting) 検知実装の確認
  • App 改ざん検証機能の実装の確認
  • メモリ上の重要データの露出の最小化設計の確認
  • ログ出力内容の確認
  • 有料コンテンツの盗用可能性の確認
  • Intent 強制呼び出し対策実装の確認
  • 画面 Captureの対策実装の確認

iOS診断項目

App ヘッダー情報
  • Position Independent Executable (PIE) 適用可否の確認
  • Stack Smashing Protection (SSP)適用可否の確認
  • Automatic Reference Counting (ARC)適用可否の確認
App ディレクトリ(Sandbox)
  • ソースコード上の重要情報露出の確認
  • アプリが生成するファイル上の重要データ露出の確認
  • DBファイル上の重要データ露出の確認
  • アプリスナップショット保存防止機能の実装の確認
App 改ざん
  • Anti-Patch 適用可否の確認
  • デバッガー検知機能の実装の確認
App 実行(プロセスメモリ・ネットワーク使用)
  • 平文通信内の重要データ転送可否の確認
  • Hacking Phone(Rooting) 検知実装の確認
  • メモリ上の重要データの露出の最小化設計の確認
  • ログ出力内容の確認
  • ランタイム(プロセス流れ)操作可能性の点検

Webサービス(APIサーバ)診断項目

情報の露出
  • 不要ファイル・I/F・ページの露出の確認
  • 不適切なログイン結果メッセージの確認
  • アプリのコメント中の重要情報露出の確認
  • サーバエラーメッセージ露出の確認
  • デフォルトページ露出の確認
  • サーバ情報(OS、バージョンなど)露出の確認
重要情報の露出
  • 平文通信内の重要情報の確認
  • 平文通信内の主要情報(クライアントが類推できるデータ)確認
  • hidden パラメータ改ざん脆弱性の確認
  • 意図していないファイルのダウンロード脆弱性の確認
  • サーバ上のディレクトリリスティング露出脆弱性の確認
脆弱な認証・権限確認
  • ソースコード露出の確認
  • 推測可能なID/Password作成ルール脆弱性の確認
  • Brute-Force攻撃の対応設計の実装の確認
  • Cookie認証脆弱性の確認
  • 2重ログイン脆弱性の確認
  • 認証迂回脆弱性の確認
  • Cross-Site-Script 脆弱性の確認
  • CSRF脆弱性の確認
  • サービス管理用ページ露出・アクセスの確認
リモートコード実行脆弱性
  • Command Injection 脆弱性の確認
  • SQL Injection脆弱性の確認
  • Remote File Inclusion脆弱性の確認
  • 意図してないファイルアップロードの脆弱性の確認
その他
  • 意図していない Redirect/Forward 脆弱性の確認

診断フロー

診断対象の情報収集から結果報告まで、最短約4〜5週間程度で完了します。

1

情報収集(打ち合わせ)

約1週間

  • 診断対象リスティング
  • モバイルアプリ構造診断
  • ウェブ脆弱性スキャン(Hybridアプリの場合)
  • 収集情報リスティング

2

脆弱性分析・診断

約2週間

  • アプリ構造分析
  • アプリ脆弱性診断
  • ウェブ攻撃(Hybrid アプリの場合)
  • 重要情報奪取・悪用の可能性の評価

3

結果報告

約1〜2週間

  • 結果整理
  • 報告
  • 対応ガイドの案内

4

フォローアップ

  • アプリ脆弱性再診断
  • 脆弱性対応状況確認
  • 報告
  • ※診断開始には、診断対象となるアプリを操作できる環境をご用意いただく必要があります。
  • ※診断対象となるアプリの規模や制約事項などにより、スケジュールが変動する場合があります。
  • ※契約調整は診断期間に含まれません。

導入実績

他 地銀4行、フィンテック企業1社にて導入実績あり

お問い合わせ・報告書サンプル

ネットムーブのお問い合わせフォームよりお問い合わせください。
報告書のサンプル請求も承ります。フォームの「お問い合わせの種類」から「資料請求」をお選びの上、「お問い合わせ内容」に「アプリ診断のサンプル希望」とご入力ください。折返し担当者より送付させていただきます。

報告書サンプル1 報告書サンプル2
お問い合わせ・サンプル請求はこちら

自社アプリへのセキュリティ機能導入をご検討のお客様

アプリにセキュリティ対策を実装するためのSDKをご用意しております。このSDKを組み込むことで、自社アプリに悪性プログラム検出などのセキュリティチェックを実装いただけます。

詳しくはこちら