スマートフォンアプリの脆弱性診断サービス

モバイルサービスの安全な運用をサポート
スマートフォンアプリの
脆弱性診断・対策支援サービス
「saat(サート) アプリ診断」は、スマートフォンアプリのセキュリティリスクを解析し、対応に至るまでフォローするサービスです。
- iOS
- Android
- Web API
サート・アプリ診断とは?
サート・アプリ診断は、iOS/Androidアプリの脆弱性診断サービスです。
スマートフォンが普及し、アプリ開発の難易度も下がることで、多くのモバイルサービスが提供されるようになりました。一方で、脆弱性を抱えたアプリは増加傾向にあり、情報漏えいなどのリスクが問題となっています。
サート・アプリ診断ではアプリの脆弱性を調査することで、モバイルサービスの安全な運用と、持続的なセキュリティ対策をサポートします。


スマホで金融サービスを提供するが、ハッキングへの対策は充分か?
いま配信しているアプリは個人情報を扱っているが、情報漏えいが心配…
有料コンテンツが外部に流出したら大損害。しっかり守れているのか?
アプリのリスクに関する悩みを サート・アプリ診断 が解決します!
脆弱性診断の特長
金融機関を中心に導入されたセキュリティソリューションの知見から、豊富な調査・診断ノウハウを蓄積。OWASP (※1) のMobile Top10とJSSEC (※2) のモバイルアプリセキュリティガイドに基づき、スマートフォンアプリのセキュリティリスクを広範囲かつ効果的に診断します。さらに、アプリが参照するWebサービス(APIサーバ)も診断対象とすることで、アプリが提供するモバイルサービス全体のセキュリティ性を評価できます。
- (※1) OWASP(Open Web Application Security Project):ウェブアプリケーションのセキュリティ向上を目的とするコミュニティ
- (※2) JSSEC:日本スマートフォンセキュリティ協会

攻撃者視点の診断を実施しリスクの程度も把握可能
診断項目から認められた脆弱性に対し、攻撃者視点でスペシャリストが診断。攻撃の成立度合いから、リスクの程度も判定します。ペネトレーションテスト(オプション)にも対応しています。

サンプルコードの提供で対策の実施を容易に
診断結果の報告では、攻撃手法と対策の双方をサンプルコードで提示します。診断の目的であるセキュリティ対策を、アプリ開発者が容易に実施できるよう支援します。

対応状況もフォローして着実なセキュリティ対策へ
サート・アプリ診断では、脆弱性への対応状況を再診断します。診断報告後もフォローアップを行うことで、診断対象となったアプリのセキュリティ性向上に貢献します。
診断項目
Android診断項目
App パッケージ |
|
---|---|
App ディレクトリ(Sandbox) |
|
App 実行(プロセスメモリ・ネットワーク使用) |
|
iOS診断項目
App ヘッダー情報 |
|
---|---|
App ディレクトリ(Sandbox) |
|
App 改ざん |
|
App 実行(プロセスメモリ・ネットワーク使用) |
|
Webサービス(APIサーバ)診断項目
情報の露出 |
|
---|---|
重要情報の露出 |
|
脆弱な認証・権限確認 |
|
リモートコード実行脆弱性 |
|
その他 |
|
診断フロー
診断対象の情報収集から結果報告まで、最短約4〜5週間程度で完了します。
-
1
情報収集(打ち合わせ)
約1週間
-
- 診断対象リスティング
- モバイルアプリ構造診断
- ウェブ脆弱性スキャン(Hybridアプリの場合)
- 収集情報リスティング
-
2
脆弱性分析・診断
約2週間
-
- アプリ構造分析
- アプリ脆弱性診断
- ウェブ攻撃(Hybrid アプリの場合)
- 重要情報奪取・悪用の可能性の評価
-
3
結果報告
約1〜2週間
-
- 結果整理
- 報告
- 対応ガイドの案内
-
4
フォローアップ
-
- アプリ脆弱性再診断
- 脆弱性対応状況確認
- 報告
- ※診断開始には、診断対象となるアプリを操作できる環境をご用意いただく必要があります。
- ※診断対象となるアプリの規模や制約事項などにより、スケジュールが変動する場合があります。
- ※契約調整は診断期間に含まれません。
診断実績
これまでに弊社で実施した診断により、報告された診断結果の一例です。
2021年
- 診断対象
- 金融事業者 Webサービス
- サービスページ
- 診断結果の一例(概要)
- ログイン失敗回数の制限をかけていないため悪意ある攻撃が可能
- 総合評価危険度
- D
- 診断対象
- 金融事業者 Webサービス
- Webサービスサーバの外部ペネトレーションテスト
- 診断結果の一例(概要)
- 管理画面内で管理するファイルの一部が外部からアクセスが可能
- 総合評価危険度
- D
- 診断対象
- 銀行アプリ
- Android版
- 診断結果の一例(概要)
- 難読化が未対応(機密情報や重要な動作保護の不備)、ソースコードの分析が簡易的に可能
- 総合評価危険度
- E
- 診断対象
- 銀行アプリ
- iOS版
- 診断結果の一例(概要)
- キャッシュディレクトリ内への重要情報の保存
- 総合評価危険度
- B
- 診断対象
- クレジットカード会社アプリ
- Android版
- 診断結果の一例(概要)
- OS権限奪取検知の不備
- 総合評価危険度
- B
- 診断対象
- クレジットカード会社アプリ
- iOS版
- 診断結果の一例(概要)
- アプリの改ざん検知不備
- 総合評価危険度
- B
- 診断対象
- クレジットカード会社アプリ
- Android版
- 診断結果の一例(概要)
- Runtime操作に対する保護の不整備
- 総合評価危険度
- D
- 診断対象
- クレジットカード会社アプリ
- iOS版
- 診断結果の一例(概要)
- 操作中スナップショットイメージの保存可否を確認
- 総合評価危険度
- B
- 診断対象
- クレジットカード会社アプリ
- 管理者ページ(Webページ)版
- 診断結果の一例(概要)
- セッション情報が残ることによる不正アクセスのリスク
- 総合評価危険度
- D
- 診断対象
- クレジットカード会社アプリ
- 管理者サーバ版
- 診断結果の一例(概要)
- 意図していないサービスへのアクセスを確認
- 総合評価危険度
- B
- 診断対象
- 決済事業者システム
- 決済システムの外部ペネトレーションテスト(アプリケーション層)
- 診断結果の一例(概要)
- 同一アカウントにより2重ログインが可能となっており、2重ログイン中も同等な権限により業務処理が可能
- 総合評価危険度
- E
- 診断対象
- 決済事業者システム
- 決済システムの外部ペネトレーションテスト(ネットワーク層)
- 診断結果の一例(概要)
- WebサーバがHTTPS通信を強制していない
- 総合評価危険度
- B
- 診断対象
- 金融事業者アプリ
- Android版
- 診断結果の一例(概要)
- ユーザ認証が不十分なため、別アカウントの一部データの閲覧が可能となる危険性あり
- 総合評価危険度
- E
- 診断対象
- 銀行アプリ
- iOS版
- 診断結果の一例(概要)
- 正常アプリのままアプリの動作を変更することが可能
- 総合評価危険度
- B
- 診断対象
- 銀行アプリ
- Android版
- 診断結果の一例(概要)
- 画面キャプチャー制限がされておらず、重要情報イメージの奪取が可能
- 総合評価危険度
- D
2020年
- 診断対象
- 銀行アプリ
- Android版
- 診断結果の一例(概要)
- 難読化が未対応(機密情報や重要な動作保護の不備)、OS権限奪取の検知の不備
- 総合評価危険度
- E
- 診断対象
- 銀行アプリ
- iOS版
- 診断結果の一例(概要)
- OS権限奪取の検知が不十分、重要画像データの削除処理の不備による重要情報の流出の可能性
- 総合評価危険度
- E
- 診断対象
- 銀行アプリ
- 接続先API
- 診断結果の一例(概要)
- 認証を迂回してサービスの重要な情報が奪取・操作される可能性あり
- 総合評価危険度
- D
- 診断対象
- クレジットカード会社アプリ
- Android版
- 診断結果の一例(概要)
- 難読化が未対応(機密情報や重要な動作保護の不備)
- 総合評価危険度
- D
- 診断対象
- クレジットカード会社アプリ
- iOS版
- 診断結果の一例(概要)
- アプリの改ざん検知不備
- 総合評価危険度
- B
- 診断対象
- 銀行アプリ
- Android版
- 診断結果の一例(概要)
- 脆弱性無し
- 総合評価危険度
- A
- 診断対象
- 銀行アプリ
- iOS版
- 診断結果の一例(概要)
- DB内の重要情報が平文で保存されているため情報漏洩の可能性あり
- 総合評価危険度
- B
2019年
- 診断対象
- Fintech事業者アプリ
- Android版
- 診断結果の一例(概要)
- OS権限奪取検知の不備、アプリの動作改ざんが可能
- 総合評価危険度
- D
- 診断対象
- Fintech事業者アプリ
- iOS版
- 診断結果の一例(概要)
- OS権限奪取検知の不備、脆弱性悪用によるログイン情報の奪取が可能
- 総合評価危険度
- E
- 診断対象
- Fintech事業者アプリ
- 接続先API
- 診断結果の一例(概要)
- 脆弱性無し
- 総合評価危険度
- A
- 診断対象
- 銀行アプリ
- Android版
- 診断結果の一例(概要)
- OS権限奪取検知の不備、アプリの改ざん検知不備
- 総合評価危険度
- D
- 診断対象
- 銀行アプリ
- iOS版
- 診断結果の一例(概要)
- OS権限奪取の検知が不十分、アプリの改ざん検知不備
- 総合評価危険度
- D
- 診断対象
- 銀行アプリ
- 接続先API
- 診断結果の一例(概要)
- APIエラー返却値の処理中に、意図的にエラーを発生させ情報奪取が可能
- 総合評価危険度
- C
- 診断対象
- 銀行アプリ
- Android版
- 診断結果の一例(概要)
- OS権限奪取検知の不備、メモリ上の情報の奪取が可能
- 総合評価危険度
- D
- 診断対象
- 銀行アプリ
- iOS版
- 診断結果の一例(概要)
- OS権限奪取検知の不備、操作中のスナップショットからの情報漏えい対策が不十分
- 総合評価危険度
- D
- 診断対象
- 銀行アプリ
- 接続先API
- 診断結果の一例(概要)
- 認証データの処理が不十分なため、再利用による認証の迂回が可能
- 総合評価危険度
- D
- 診断対象
- クレジットカード会社アプリ
- Android版
- 診断結果の一例(概要)
- 難読化が未対応(機密情報や重要な動作保護の不備)
- 総合評価危険度
- C
- 診断対象
- クレジットカード会社アプリ
- iOS版
- 診断結果の一例(概要)
- OS権限奪取検知の不備
- 総合評価危険度
- B
- 診断対象
- 銀行アプリ
- Android版
- 診断結果の一例(概要)
- 難読化が未対応(機密情報や重要な動作保護の不備)、不適切な暗号化によるデータ露出の可能性あり
- 総合評価危険度
- E
- 診断対象
- 銀行アプリ
- iOS版
- 診断結果の一例(概要)
- 不適切なログインセッション情報の保存状態による、なりすましログインの可能性あり
- 総合評価危険度
- D
- 診断対象
- 銀行アプリ
- Android版
- 診断結果の一例(概要)
- 認証を迂回してサービス利用を行うことが可能
- 総合評価危険度
- D
- 診断対象
- 銀行アプリ
- iOS版
- 診断結果の一例(概要)
- OS権限奪取の検知の不備
- 総合評価危険度
- D
- 診断対象
- 銀行アプリ
- 接続先API
- 診断結果の一例(概要)
- 認証を迂回してサービスの重要な情報が奪取・操作される可能性あり
- 総合評価危険度
- E
- 診断対象
- 決済事業者システム
- 決済システムの外部ペネトレーションテスト(アプリケーション層)
- 診断結果の一例(概要)
- CSVファイルとしてダウンロードされるデータを入力する際、適切なフィルタリングが無いため、攻撃コードを含んだCSVファイルの生成が可能
- 総合評価危険度
- E
- 診断対象
- クレジットカード会社アプリ
- Android版
- 診断結果の一例(概要)
- OS権限奪取検知の不備、アプリの改ざん検知不備
- 総合評価危険度
- C
- 診断対象
- クレジットカード会社アプリ
- iOS版
- 診断結果の一例(概要)
- OS権限奪取検知の不備、アプリの改ざん検知不備
- 総合評価危険度
- C
- 診断対象
- 製薬会社アプリ
- Android版
- 診断結果の一例(概要)
- 難読化が未対応(機密情報や重要な動作保護の不備)、OS権限奪取の検知の不備、メモリ上の情報の奪取が可能
- 総合評価危険度
- E
- 診断対象
- 製薬会社アプリ
- iOS版
- 診断結果の一例(概要)
- OS権限奪取の検知が不十分、アプリの改ざんが可能
- 総合評価危険度
- D
- 診断対象
- 製薬会社アプリ
- 接続先API
- 診断結果の一例(概要)
- サーバ情報が閲覧可能箇所に記載があるため脆弱性利用の攻撃につながる危険性がある
- 総合評価危険度
- D
2018年
- 診断対象
- 決済事業者システム
- 決済システムの外部ペネトレーションテスト(アプリケーション層)
- 診断結果の一例(概要)
- 管理者権限のアカウントでログインすると同一権限の他の管理者アカウントのパスワード初期化が可能
- 総合評価危険度
- C
お問い合わせ・報告書サンプル
ネットムーブのお問い合わせフォームよりお問い合わせください。
報告書のサンプル請求も承ります。フォームの「お問い合わせの種類」から「資料請求」をお選びの上、「お問い合わせ内容」に「アプリ診断のサンプル希望」とご入力ください。折返し担当者より送付させていただきます。



自社アプリへのセキュリティ機能導入をご検討のお客様
アプリにセキュリティ対策を実装するためのSDKをご用意しております。このSDKを組み込むことで、自社アプリにセキュリティチェックを実装いただけます。
詳しくはこちら