iOS・Androidアプリや連携APIを対象とした診断サービスです。
リバースエンジニアリングや動的解析を用い、脆弱性を検出・評価します。
ログイン不備によるなりすまし、機密情報の漏えい、
通信傍受、データ改ざんなど、実際の攻撃リスクを評価します。
アプリのバイナリやソースコード(apk/ipa)を解析し、APIキーや機密情報のハードコーディング、認証トークン処理の不備、不要なログ出力・デバッグコードの残存などを検出します。アプリがリバースエンジニアリングや改ざんに耐えうる構造かどうかも含め、内部構成の弱点を網羅的に洗い出します。
アプリを実際に操作しながら、通信内容の暗号化状況、APIへの不正アクセス(偽トークン、ロール昇格)、セッションハイジャック、Root化/Jailbreak検出機能の有無など、実行中の挙動に起因するリスクを評価します。キャッシュ情報の漏えいや外部インテントの悪用など、運用中の攻撃シナリオに対応した診断が可能です。
アプリが連携しているネットワークやAPIに対しても、セキュリティ設定やアクセス制御の不備がないかを検査します。クライアントアプリ単体ではなく、通信経路とバックエンドを含む一連の構成を前提に診断することで、実環境に即したセキュリティリスクを可視化できます。
自社のモバイルアプリのセキュリティに懸念がある場合は、ご相談ください。
スマホアプリが会員制・決済機能つきで情報を扱っている
自社開発アプリをリリース前に第三者検証したい
Root化/改ざん/API悪用などの高度な攻撃に備えたい
取引先や監査対応のために診断報告書が必要
金融、決済、健康情報など高リスク領域での運用がある
アプリケーションの概要と診断範囲を確認します。
約1週間
ソースコードとバイナリの解析を行い、
潜在的な脆弱性を特定します。
約2-3週間
アプリを実環境で動作させ、
潜在的な脆弱性や問題点を洗い出します。
約2-3週間
診断結果をまとめ、具体的な対策方法を提案します。
約1週間
アプリ内に保存される機微な情報や認証情報が、暗号化されずに平文で保存されていないか、あるいは他アプリから不正に読み取られる可能性がないかを確認します。加えて、バックアップ経由での情報抽出の可否や、アクセス制御の設定ミス、暗号アルゴリズムの強度不足など、端末側における情報の保護状況を多角的に検証します。
アプリが送受信するデータが適切に暗号化されているか、証明書の検証が適切に行われているかなど、通信の安全性を確認します。さらに、HTTPSが使用されていない通信経路や、WebViewの実装ミスによる任意コード実行の可能性といった、外部とのやり取りに伴うリスクも評価の対象となります。
外部アプリとの連携機能がある場合、それを悪用したアプリの乗っ取り、クラッシュ誘発、機密情報の不正取得が起こり得ないかを検証します。インテント処理やスキーム実装に問題がないか、アプリの連携設計に潜むリスクを実際の攻撃シナリオに即して確認します。
アプリが難読化されておらず、解析しやすい構造になっていないか、また、デバッグ用コードやログ出力が残ったままになっていないかなど、アプリそのものの防御力も重要な診断対象です。認証ロジックの不備や、埋め込まれるべきでない鍵情報の存在など、開発段階で混入しやすい構成上の問題も含めて評価を行います。
