スマートフォンアプリ脆弱性診断

サービスの概要

iOSやAndroidアプリ等のスマホアプリにセキュリティ上の問題点がないか、JSSECのセキュアコーディングガイドやOWASPMobileTop10に基づきセキュリティ診断サービスを実施します。リバースエンジニアリングによるアプリの挙動解析の実施も可能です。 ※Webサーバへの診断は、Webアプリケーション診断で対応する事が可能です。

  • 診断日程は個別にご提示させていただきます。
  • 報告書は診断後、約1週間でご提出させていただきます。
  • 診断時間は10:00~19:00になります。(ご相談可能)
  • 診断時にメールにて開始連絡をいたします。
  • 高い脆弱性を発見した場合、メールor電話にてご連絡を差し上げます。
  • 報告書提出後、1カ月以内であればメールでのQ&A対応は可能です。

診断内容

  • 不正通信の確認

    iOS
    Android

  • 重要情報の保持方法

    iOS
    Android

  • データ改ざんによる不正行為

    iOS
    Android

  • パーミッションの設定不備

    iOS
    Android

  • SDカードへの重要情報の出力

    iOS
    Android

  • ログへの重要情報の出力

    iOS
    Android

  • コンテントプロバイダのアクセス制御不備

    iOS
    Android

  • インデントによる重要情報の出力有無

    iOS
    Android

  • WebView関連の脆弱性の有無

    iOS
    Android

  • 耐タンパー性の確認

    iOS
    Android

  • ソースコードへの重要情報の出力有無

    iOS※1
    Android

  • 通信プロトコルの解析

    iOS※1
    Android

  • ロジック改ざん

    iOS
    Android

  • リバースエンジニアリングによる脆弱性解析

    iOS※2
    Android
  • ※1iOSの場合はアプリのソースコードをいただければ調査可能です。
  • ※2iOSの仕様により調査が困難なため、調査制度の維持が難しい

診断の流れ

  1. 1

    ヒアリング

    • 対象システムに関してのヒアリングを実施
    • 対象システムの対象リストの精査、決定
  2. 2

    診断方法提案

    • 診断方法の確認(手動診断・手動診断とツール診断のハイブリット診断)
    • 診断日程確定
  3. 3

    診断

    • 診断の実施
    • 診断実施時間の待機
    • 診断の開始及び終了をメールにてお知らせ
  4. 4

    速報連絡

    • 重大な脆弱性を発見した場合に速報を提出
    • 修正方法の提示
  5. 5

    報告書作成

    • 発見された問題点一覧を提出
    • 問題点の改善について、緊急度や必要性を評価
    • 問題点が及ぼす影響の評価
    • すべての問題点について、再現方法提示・具体的な対策方法を提示
  6. 6

    報告会(オプション)

    • 発見された結果を元に報告会を実施
    • 技術的視点からの改善策をご提示
  7. 7

    QAサポート/再診断

    • 診断後、1ヶ月以内であれば無償で再診断を実施。
    • 1ヶ月以内であればメールでQ&Aも実施いたします

料金

診断メニュー

スマートフォンアプリケーション診断

概要

スマートフォンアプリケーション専用のメニューです。スマートフォンアプリならではのセキュリティ上の脅威について多方面から技術者による手動検査を行います。

費用

別途問い合わせ

セキュリティ・脆弱性診断トップへ戻る