コンテンツへスキップ

モバイルAPPペネトレーションテストについて

モバイルアプリケーションのセキュリティを評価するテストです。 iOSおよびAndroidプラットフォームに精通した専門家チームがモバイルアプリケーションの脆弱性を特定し、ユーザーデータや機密情報へのアクセスを制限するための対策を提案します。モバイルアプリケーションの脆弱性には、不適切なデータストレージ、不正な認証、および不適切な暗号化が例として挙げられます。これらの脆弱性に対策を施し、モバイルアプリのセキュリティを強化します。

脆弱性を特定・対策してデータ漏洩を防ぐ

セキュリティを強化してアプリケーションを安全に運用

スマートフォンが急速に普及し、アプリ開発の難易度が下がったこともあり、多くのモバイルサービスが世に出回るようになるとともに、脆弱性を抱えたアプリも増加しています。
オンラインサービスやアプリケーション(Webアプリ、スマホアプリ、クライアントアプリ)は個人情報やクレジット情報などの機密情報を扱っている場合も多く、情報漏洩は重大なリスクとなっています。
機密情報の漏洩を防ぐために、モバイルAPPペネトレーションテストを行ない、脆弱性を検証することは重要です。発見された脆弱性を取り除く対策をすることでアプリケーションのセキュリティを強化し、ハッキングなど悪意あるサイバー攻撃から保護します。

モバイルAPPペネトレーションテストの方法

モバイルアプリケーションのセキュリティを評価するテストです。専門家がモバイルアプリケーションの脆弱性を特定し、ユーザーデータや機密情報へのアクセスを制限するための対策を提案します。
モバイルアプリケーションの脆弱性には、不適切なデータストレージ、不正な認証、および不適切な暗号化が例として挙げられます。

iOSとAndroidのペネトレーションテストの豊富な経験を持つ弊社の専門家チームは、常に変化する各モバイル特有のセキュリティ問題に対処することができます。
モバイルAPPペネトレーションテストは、脆弱性の特定と想定される攻撃手法で疑似攻撃を行い、目的が達成できるか検証します。テスト項目には、安全でないストレージの評価、盗まれたデバイスのリスク評価、モバイルマルウェアの脅威の精査、認証されたユーザーおよび認証されていないアプリユーザーのセキュリティテストが含まれます。アプリが社内のモバイルデバイスでホストされている場合、企業環境を再現した環境でテストを実施します。
静的分析と動的分析の両方を統合し、弊社の専門家チームはアプリの休止状態と実行時の両方でテストを行い、あらゆる脆弱性を特定します。モバイルAPPペネトレーションテストでは、ユーザー認証情報の安全でないストレージ、Androidバックアップを含む機密アプリデータなどに潜む主な脆弱性を発見することができます。弊社の専門家チームはアプリ自体を逆コンパイルまたはリバースエンジニアリングや、アプリケーションの完全なソースコードの検証をし、さらに多くの脆弱性を特定することができます。モバイルAPPペネトレーションテスト中にアプリのソースコードを検証することで、深く埋もれた脆弱性も特定することができます。
正規状態とジェイルブレイクされたデバイス両方でテスト 正規の状態のデバイスと、ジェイルブレイクされたiOSおよびルート化されたAndroidデバイスを含む複数の攻撃手法と脅威も検証します。両状の脆弱性を比較することで、悪意のある攻撃者から一般ユーザーまで、複数のユーザータイプからのセキュリティリスクを発見することができます。
※ジェイルブレイク:OSの不具合や脆弱性をついた非正規な方法で制限を解除すること。
※ルート化されたAndroid:非標準のアプリをインストールできるようになり、非表示設定の変更、ブローとウェアの削除、ストレージのコントロールができるようになる。
モバイルAPPペネトレーションテストのレポートには、要点と技術的な詳細情報の両方を記載しているので、経営陣とアプリ開発者の両方にとって必要な情報を簡潔に得ることができます。 モバイルAPPペネトレーションテストのレポートには下記の項目が記載されています。
  • 要約リスクおよびアプリの強みと弱み
  • リスク優先の脆弱性と説明
  • 脆弱なコードセクション(ソースコードレビューが統合されている場合)
  • 攻撃ウォークスルー(スクリーンショットを含む)
  • 修復および防御の推奨対策
ご希望があれば、お客様が脆弱性への対策を実施した後、弊社の専門家が再テストします。 適切に対策ができているか、脆弱性が排除されているかを確認します。

モバイルAPPペネトレーションテストの主なテスト項目

認証セキュリティ診断

破損したオブジェクトレベル認証診断

破損した認証診断

破損したオブジェクトプロパティレベル認証診断

制限されていないリソース消費診断

制限されていないリソース消費診断

破損した関数レベルの認証診断

機密ビジネスフローへの無制限アクセス診断

サーバー側のリクエスト偽造診断

セキュリティの誤構成確認

不適切なインベントリ管理

安全でないAPIの利用診断

複雑でカスタマイズ可能な攻撃シナリオ診断

脆弱性を狙う巧妙な攻撃

高度な偵察

ゼロデイ脆弱性診断

高度な回避技術/バイパス技術

高度持続型攻撃のシミュレーション

シナリオベース診断

総合的なレポート