スマートフォンアプリケーションの脆弱性が問われる中、サーバ検査・クライアントアプリケーション検査を通じ、利用者情報が適切に取り扱われているかを診断するサービスです。
本診断は、総務省が提言する「関係事業者向け スマートフォン利用者情報取扱指針」で示された6つの基本原則を考慮した診断です。
フリーワード検索
フリーワード検索
スマートフォンアプリケーションの脆弱性が問われる中、サーバ検査・クライアントアプリケーション検査を通じ、利用者情報が適切に取り扱われているかを診断するサービスです。
本診断は、総務省が提言する「関係事業者向け スマートフォン利用者情報取扱指針」で示された6つの基本原則を考慮した診断です。
サーバ、アプリそれぞれに診断を行い、双方の結果を分析・統合し、レポートを作成いたします。
サーバ側
| 認証 | Cookieの取り扱いに関する調査、セッションIDに関する調査、クロスサイトリクエストフォージェリ |
|---|---|
| 入出力処理 | クロスサイトスクリプティング、SQLインジェクション、コマンドインジェクション、ディレクトリトラバーサル、ファイルアップロード、パラメータ推測 |
| 一般的な脆弱性 | 既知のソフトウェア脆弱性、強制ブラウジング、ディレクトリリスティング |
| Webサーバ設定 | システム情報の開示、サーバエラーメッセージ |
スマートアプリケーション側
(通信診断)
| 不正通信の確認 | 外部サーバへの個人情報/機密情報の不正送信の有無を確認します。 |
|---|---|
| HTTPレスポンス診断 | アプリの入力となるHTTPレスポンスをキャプチャ・改竄することによってアプリの脆弱性診断を行います。 |
| HTTPリクエスト診断 (Web API診断) | 通常のWebアプリ診断と同様の内容です。サーバ側の脆弱性診断を行います。 |
端末内データ診断
| 端末内データの不備 | 端末内のファイル(Database,Preference等含む)などにパスワードや個人情報などのデータを平文で保存していないことを確認します。 |
|---|---|
| 端末内データ改竄による 不正行為 | 端末内データを改竄することによる不正行為(チート、残高偽装、購入履歴偽装等)の可否を確認します。 |
| パーミッションの設定不備 | 重要情報を含むファイルが他アプリからアクセスできるパーミッションになっていないかを確認します。 |
| SDカードへの機密情報の出力 | 他アプリからアクセス可能なSDカード内へ個人情報/機密情報を保存の有無を確認します。 |
| ログへの機密情報の出力 | ログにユーザの個人情報/機密情報の出力の有無を確認します。 |
| コンテントプロバイダからの アクセス制御不備 | 個人情報/機密情報へアクセス可能なコンテントプロバイダが意図せず他のアプリから不正にアクセス可能かを確認します。 |
バイナリ診断
| 耐タンパー性の確認 | 逆コンパイルの可否や難読化の有無等を確認します。 |
|---|---|
| リバースエンジニアリング による脆弱性解析 | リバースエンジニアリングによる脆弱性の解析を行います。 |
| ソースコードへの 機密情報の出力有無 | 逆コンパイルしたソースコード内に暗号化キーや隠し機能、隠しURL等の情報がハードコーディングされていないかを確認します。 |
| 通信プロトコルの解析 | HTTP以外のプロトコルが使われている場合は解析し、脆弱性の有無を確認します。 |
担当部門/DX本部 セールスサポート室