スマホアプリセキュリティ診断(※1)

スマートフォンのネイティブアプリケーションに対して診断する
新サービス、スマホアプリセキュリティ診断
スマホアプリセキュリティ診断
スマホ端末には、多くのプライバシー情報がある…
スマホアプリおよび連携するWebサーバにおいて、決済情報やアカウントなどの重要情報を取り扱うことが
あるのをご存知ですか？
スマホアプリが動作する一般的な環境
3G/4G/Wi-Fi
スマートフォン
スマホ
アプリ
Webサーバ
2 重要情報を取り扱う
利用者の氏名
ユーザID
電話番号
パスワード
クレジットカード情報 利用者の位置情報 etc.
スマホが
持つ情報
1 多くのプライバシー情報にアクセス可能
電話帳*  Webブックマーク
写真
 SNSアカウント
カレンダー etc.
*電話帳1件に含まれる情報
 電話番号  氏名  ニックネーム
 誕生日
 住所  Eメールアドレス
 プロフィール画像
etc.
脆弱なアプリを公開してしまうと、利用
者のプライバシー情報・重要
情報の漏えいだけでなく、プログ
ラム情報の流出やアプリの不
正利用、風評被害などのセキュ
リティ事故に繋がる恐れがあり
Webサービスの
脆弱性悪用
ショルダー
ハッキング
通信経路上の
盗聴・改ざん
デバッグによる
アプリ解析
マルウェアアプリ
からの攻撃
ます！
ログデータ
の解析
スマホアプリセキュリティ診断サービス内容
スマホアプリセキュリティ診断サービスは、クライアントアプリに対して専門コンサルタントが手動による徹底的な診断を行
い、その結果を分かりやすく報告するサービスです。
スマホアプリセキュリティ診断
APKファイルまたはIPAファイルを解析する「静的解析」と、アプリを動作させることで生成される各種ファイルや機能の
悪用可否を確認する「動的解析」の2種類の手法による診断を実施します。
APKファイル
IPAファイル
サーバ
 パーミッションの確認
etc.
重要情報の有無の確認
難読化有無の確認 etc.
GSX診断員
アプリ
診断用
スマートフォン
GSX診断員
静的診断
データ
 重要情報の送信有無の確認
 SSL証明書エラーの確認
etc.
ファイル
動的診断
33
http://www.gsx.co.jp
スマホアプリWebAPI診断(オプション)
アプリケーションを動作させ、サーバ側に送信される通信を診断用の通信に書き換えて診断を行います。
実際のアプリケーションを用いるため、よりユーザに近い方法で診断が可能です。
インターネット
診断用スマートフォン
診断用PC
 SQLインジェクション
 クロスサイトスクリプティング
Web
API
 価格改ざん
 ゲームのチート etc.
サーバ
サービス仕様／オプションサービス／事前確認内容
サービス仕様
項目
診断内容
報告書
診断結果フォロー
対応OS
ご提供価格
オプションサービス
サービス概要
オプションサービス名
サービス概要
スマホアプリに対して、弊社診断項目に従ってセキュリ
ティ診断を実施します
診断結果をまとめた報告書を提出します
診断結果に対するQA対応を行います
AndroidOS、iOS ※
1アプリ 600,000円～（税抜）
スマホアプリWebAPI診断
スマホアプリと通信を行うWebAPIに対して、
弊社診断項目に従って
セキュリティ診断を実施します
作成した報告書をもとに担当コンサルタントが
報告会を行います
検出された脆弱性が対策されているかの確認
作業を行います
報告会実施
対策確認検査
※その他OSについてはご相談ください。
よくあるご質問
Q1
なぜスマホアプリにセキュリティ診断が
必要なんですか？
Q3
デバッグによるアプリ解析、ログデータの解析、
マルウェアアプリからの攻撃などにより、重要
情報漏えいや、有料コンテンツの不正利用
などの可能性があります。
スマホアプリは各種アカウント情報やクレジッ
トカード情報等の重要情報を扱う事があり
ます。スマホアプリと連携するWebサーバに
おいても同様の情報を扱う可能性がありま
す。もし脆弱性があった場合、なりすまし、
データ改ざん、重要情報漏えい等様々な
被害が発生する為、セキュリティ診断が必
要になります。
Q2
スマホアプリにはどのような脅威が
潜んでいるんですか？
Q4
検査時間・期間はどのくらい必要ですか?
緊急速報などのネガティブ要素が見つかり、
アプリの改修に及ぶ際などご調整が必須と
なります。
なぜスマホアプリの検査が必要なのですか?
AppStoreやGooglePlayで
アプリの検査はしていないのでしょうか？
マーケットの審査は、アプリが公開基準を満
たしているかの確認や、悪意ある動作(個
人情報を抜き取るようなマルウェアを仕込む
等)をしていないかの審査は実施しますが、
脆弱性の有無に関しては検査しません。
従って、マーケットの審査とは別にセキュリ
ティ診断が必要です。
Q5
打ち合わせの際に必要な資料と担当者に
必要なスキルを教えてください
アプリの内容が分かる資料およびその資料
を理解している方が同席されますと、セキュ
リティ診断のご説明および最適な提案がス
ムーズに行えるかと思います。
本カタログは、2013年9月時点における内容になります。
タイガーチームサービスは、グローバルセキュリティエキスパート株式会社の製品・登録商標です。
34
http://www.gsx.co.jp

Download Report