お問い合わせ・資料請求

0120-957-975

脆弱性診断サービス

スマートフォンアプリケーション診断

スマートフォンアプリケーション診断について

企業では、業務利用としてスマートフォンの導入が進んでいます。同時にスマートフォンで動作するマルウェアも急増しています。アプリケーションそのものにマルウェアが仕込まれていたり、不適切なセキュリティ設定などによって、スマートフォンが乗っ取られたり、重要な情報が抜き取られたりするセキュリティ上の脅威が増加しているのです。問題を未然に防ぐためには、適切な対策を講じることが不可欠になっています。

本サービスでは、スマートフォン端末内で動作するアプリケーションを実際に操作することにより、生成されたファイルや通信などに対して診断を実施します。診断手段として、送出される通信や設定ファイルを分析・調査、他のアプリケーションからの情報へのアクセス可否の調査などを行います。

主な診断項目

通信の調査 利用目的で定義された通信内容と送出される通信内容の確認
端末内データの調査 重要情報の暗号化、ログ等へ出力保存状況、端末操作による重要情報への閲覧の可否 など
脆弱性の調査 難読化の有無、機密情報のハードコーディングの有無、データ共有機能、
アプリ連携機能からの情報漏洩、レスポンスパラメータの挙動調査 など
耐タンパー性の調査 逆コンパイルの可否、WebView の脆弱性の有無 など

診断レポート

診断結果は「診断報告書」として提出いたします。診断報告書は、経営層向けのエグゼクティブサマリー(5段階の評価ランクを含む)と技術者向けに詳細レポートとして、確認された脆弱性および対策などを記載し、お客様が改善すべき事項を明確にご提示します。

エグゼクティブサマリー 診断対象のリスクを一目で把握できるように、5段階評価(A~E)とレーダーチャートによる分析で提示します。
詳細レポート 検出された脆弱性の状態やリスク、対策案を提示します。開発者が改修しやすいように再現例と発見箇所について詳しく報告。対策案として、根本的対策と保険的対策の2種類を提示します。

確認された脆弱性の影響の度合いについては、下図の通り、「攻撃難易度」と「危険度」の2つの軸による評価を行います。それにより、公開中のシステムにおいて、「危険度が高いがその脆弱性を攻撃することは難しい」場合や、「危険度は低いが容易に攻撃できてしまう」場合などを把握できるため、リスクの高さを相対的に判断することが可能になる、といったメリットがあります。
この脆弱性の2軸評価は、サイバートラストならではのサービスであり、多くのお客様に高く評価されています。

リスク評価基準
リスク評価
マトリクス
攻撃難易度
危険度 4:緊急 3:高 2:中
2:中 2:中 1:低
1:無 1:低 1:低
0:無 0:無 0:無
危険度評価基準
システムの侵入やページの改ざん、機密情報漏洩につながる指摘事項(SDLインジェクション・クロスサイトスクリプティングなど)
システムの停止やシステム設定情報の漏洩につながる指摘事項(DoS攻撃・設定パラメータの漏洩など)
システムのバナー情報等、直接的にシステムへの侵入につながらない指摘事項(サーバサービスのバージョン取得・不要なオープンポートなど)
攻撃難易度評価基準
簡単に手に入るツールなどによって、用意に攻撃を行うことが可能
特定の条件をクリアすることによって攻撃を行うことが可能
攻撃を行うためには非常に複雑な条件をクリアする必要がある

4:緊急3:高が確認された場合は、診断期間の終了まで待たずに即日の速報レポートを提供します(速報レポート)。

詳細はお問い合わせください

お問い合わせ