実際にハッカーが用いる攻撃手法を用い、
高い技術力をベースにしたワールドクラスの手動診断

ハッキングコンテストで優秀な成績を持つ企業との協業によりモバイルアプリに対する高い技術力をベースにしたワールドクラスの脆弱性手動診断を提供します。国内外での豊富な実績と金融向けアプリを想定した診断作業における高い信頼性が評価をいただいています。また、わかりやすく、実用性の高いレポートと、診断結果に対する対応ガイドだけではなく、指摘した脆弱性が正しく直っているかまで再度診断でフォローします。

サービスの特長

Point1モバイルアプリに対する高い技術力

  • DEFCON, CODE BLUEなどのハッキングコンテストで優秀な成績を持つ企業との協業で提供
  • 実際にハッカーが用いる攻撃手法を用いた診断
  • 攻撃者の目線で攻撃が成立するか否かまで調査

Point2診断作業における高い信頼性

  • 年間100件以上の国内海外での診断実績
  • 診断項目にOWASP Mobile Top10を採用、高いセキュリティレベルが求められる金融向けアプリを想定したフル手動診断
  • 標準化された分析チェックリストと診断作業のマネジメント
  • モバイルアプリやレポートの受渡しをセキュアな環境で実施

Point3分かり易いレポートとフォローアップ

  • 実用性の高い結果報告と対策ガイド
  • 攻撃方法と修正内容をサンプルコード付きで報告
  • 診断結果に対する対応ガイドだけではなく、指摘した脆弱性が正しく直っているかまで確認する。
    (再診断とそのフォローアップ)

診断結果の詳細報告例

Point4脆弱性の対応状況まで確認

診断結果に対する対応ガイドだけではなく、指摘した脆弱性が正しく直っているかまで再度診断でフォロー

脆弱性診断の流れ(手動診断)

モバイルアプリの手動診断項目

Android

分類 項目
Appパッケージ ソースコードの難読化
マニフェスト ファイル(Manifest File)の適切な権限設定
ソースコード上の重要情報の露出確認
App ディレクトリ
(Sandbox)
アプリが生成するファイル上の重要データの露出確認
DBファイル上の重要データの露出確認
App実行
(プロセスメモリ・ネットワーク使用)
平文通信内の重要データ転送可否の確認
ハッキング(Hacking Phone)(Root化)検知実装の確認
App改ざん検証機能の実装の確認
メモリ上に重要データの露出最小化設計の確認
ログ出力内容の確認
有料コンテンツの盗用可能性の確認
インテント(Intent)強制呼び出し対策実装の確認
画面キャプチャの対策実装の確認

iOS

分類 項目
APPヘッダー情報 位置独立実行形式(PIE)適用可否の確認
スタック破壊保護対策(SSP)適用可否の確認
自動参照カウント(ARC)適用可否の確認
Appディレクトリ
(Sandbox)
ソースコード上の重要情報露出の確認
アプリが生成するファイル上の重要データ露出の確認
DBファイル上の重要データ露出の確認
ハッキング(Hacking Phone)(Root化)検知実装の確認
アプリスナップショット保存防止機能の実装の確認
App 改ざん アンチパッチ(Anti Patch)適用可否の確認
デバッガー検知機能の実装の確認
App実行
(プロセスメモリ・ネットワーク使用)
平文通信内の重要データ転送可否の確認
ハッキング(Hacking Phone)(Root化)検知実装の確認
メモリ上に重要データの露出最小化設計の確認
ログ出力内容の確認
ランタイム(プロセス流れ)操作可能性の点検

Web API

分類 項目
情報の露出 不要ファイル・インターフェイス・ページの露出の確認
不適切なログイン結果メッセージの確認
アプリのコメント内、重要情報露出確認
サーバエラーメッセージ露出の確認
デフォルトページ露出の確認
サーバ情報(OS、バージョンなど)露出の確認
重要情報の露出 平文通信内の重要情報の確認
平文通信内の主要情報
(クライアントが類推できるデータ)確認
hiddenパラメータ改ざん脆弱性の確認
意図していないファイルのダウンロード脆弱性の確認
サーバ上のディレクトリリスティング露出脆弱性の確認
脆弱な認証・権限確認 ソースコード露出の確認
推測可能なIDパスワード作成ルールの脆弱性確認
ブルートフォース攻撃の対応設計の実装確認
Cookie認証脆弱性の確認
2重ログイン脆弱性の確認
認証迂回脆弱性の確認
クロスサイトスクリプト(CSS)の脆弱性確認
クロスサイトリクエストフォージェリ(CSRF)の脆弱性確認
サービス管理用ページ露出・アクセスの確認
リモートコード
実行脆弱性
コマンドインジェクション(Command Injection)の脆弱性確認
SQLインジェクション(SQL Injection)の脆弱性確認
リモート・ファイル・インクルード(Remote File Inclusion)の脆弱性確認
意図していないファイルアップロードの脆弱性確認
その他 意図していないリダイレクト/フォワード(Redirect/Forward)の脆弱性確認

メニュー・価格

サービス名 種別 概要 単位 サービス価格
初期費用 月額費用
モバイルアプリ向け
脆弱性診断サービス
AppChecker Pro 手動診断AndroidまたはiOS 1式 1,000,000円〜
オプション 報告会 + フォローアップ 1式 160,000円 

※:ツール診断と手動診断を組み合わせたハイブリッド診断も提供いたします

※ 表示価格は全て税抜き表示です

モバイルアプリ向け脆弱性診断サービス AppChecker

モバイルアプリ向け脆弱性診断サービス
(AppChecker)

手間のかからないツール診断と専門家の手動分析の組み合わせによる高品質ですばやい分析レポートをリーズナブルな価格で提供

モバイルアプリ向け脆弱性手動診断サービス AppCheckerPro

モバイルアプリ向け脆弱性手動診断サービス(AppCheckerPro)

実際にハッカーが用いる攻撃手法を用い、高い技術力をベースにしたワールドクラスの手動診断

モバイルアプリ保護サービス AppProtect

モバイルアプリ保護サービス
(AppProtect)

次世代型モバイルアプリ保護技術でモバイルアプリをハッキングから守る

お問い合わせ

Contact

サービス、記事、サイトに関するお問い合わせはお気軽にどうぞ

メールからのお問い合わせ

メール

メールでのご質問やお問い合わせなどを承ります。

お電話からのお問い合わせ

電話アイコン
土日・祝祭日を除く。AM9:30 − PM6:30