スマホアプリ診断
iOS / Androidのスマホアプリに対してリバースエンジニアリングなどを行い、セキュリティ上のリスクを洗い出します。

診断フロー
01. ヒアリング・お見積もり
お客様の環境のシステム構成などをヒアリングさせていただき、診断対象のリクエスト数(通信の種類の数)を確認いたします。
その後、リクエスト数をもとにお見積りを発行いたします。
まだ開発途中などでリクエスト数が未確定の場合は、システム構成や設計をもとにおおよその概算見積もりを発行可能です。
予算策定や相見積もり時などにご利用いただき、発注確定後に再度正式なお見積りを実施いたします。
02. 診断の実施
実施前に「お問合せはメールが飛ぶので触らないで欲しい」「平日の午前のみ実施して欲しい」などのご要望を整理し、お客様と最終確認をいたします。
その後、実際に診断対象に対して、攻撃者の視点からさまざまな手法で脆弱性を洗い出します。
03. 診断結果のご報告
診断対象の総合結果や検出された脆弱性の詳細、各脆弱性の再現方法、各脆弱性の修正案などをまとめた診断結果レポートをお渡しします。
また、ご希望に合わせて診断結果の報告会を実施することも可能です。(オプション)
04. 再診断(無料)などのアフターサポート
診断結果のご報告後、脆弱性の改修に対しても全力でサポートいたします。
診断の実施後3ヶ月以内であれば、無料で検出された脆弱性の修正が完了できているか再診断を実施いたしますのでお気軽にお申し付けください。
検査項目
Android/iOSアプリ共通の検査
SSL証明書検証の不備 | SSLを用いて通信する際に不適切な証明書が利用可能か検査します。 |
不適切なパーミッションの使用 | アプリが不必要に多くの権限を持っていないか検査します。 |
カスタムスキーマの不適切な使用 | カスタムスキーマ経由で不適切な動作が行われないか検査します。 |
デバッグ機能の使用 | 本番向けのビルドでデバッグ機能が利用可能か検査します。 |
端末の時間変更による制限の迂回 | 端末の時間を変更し、アプリ内の機能の利用制限を迂回できないか検査します。 |
アプリへの重要情報の埋め込み | アプリ内に重要情報が存在していないか検査します。 |
ストレージへの重要情報の出力 | 端末内に重要情報を出力していないか検査します。 |
ログへの重要情報の出力 | ログに重要情報を出力していないか検査します。 |
Androidアプリ特有の検査
フルバックアップ機能の使用 | フルバックアップ機能が有効の場合、アプリ内の情報がバックアップされる恐れがあります。 |
Activityの不適切な使用 | Activityが外部からintentを受け取った際に、不適切な動作を行わないか検査します。 |
Serviceの不適切な使用 | Serviceが外部からintentを受け取った際に、不適切な動作を行わないか検査します。 |
Content Providerの不適切な使用 | Content Providerが外部からintentを受け取った際に、不適切な動作を行わないか検査します。 |
Broadcast Receiverの不適切な使用 | Broadcast Receiverが外部からデータ操作の要求を受け取った際に、不適切な動作を行わないか検査します。 |
重要情報のBroadcast | 他のアプリに重要情報がブロードキャストされていないか検査します。 |
iOSアプリ特有の検査
ATS(AppTransportSecurity)の使用 | ATSが有効の場合、安全性に問題のある通信が発生する恐れがあります。 |
APIとの通信に関する検査
基本診断 | SQLインジェクションなど、Webアプリケーションへの診断と同様の項目で診断を行います。 |
