モバイルアプリケーション ペネトレーションテスト
Mobile Application Penetration Testing
サービス概要
モバイルアプリケーション ペネトレーションテストは、スマートフォンやタブレットで利用されるモバイルアプリケーションに特化した侵入テストサービスです。アプリケーションの設計、構成、データ通信、保存領域、認証機構などを多角的に検証し、実際の攻撃を想定した高精度な脆弱性評価を実施します。ホワイトハッカーを擁するCyberCrewが、お客様のモバイルアプリのセキュリティ強化を支援します。
対応基準・準拠ガイドライン
OWASP MASVS
(モバイルアプリケーションセキュリティ検証基準)
OWASP MSTG
(モバイルセキュリティテストガイド)
OWASP Mobile Top 10
各種規制
(GDPR、HIPAA、PCI DSS等)
主な脆弱性とリスクの例
| 脆弱性カテゴリ | 説明 |
|---|---|
|
入出力バリデーションの不備 |
SQLインジェクション、コマンドインジェクション、XSSなどの攻撃に
より、アプリケーションの操作を乗っ取られる可能性があります。 |
|
認証・認可の脆弱性 |
自動化された攻撃により、ユーザーのなりすましや不正アクセス、情報窃取が発生するリスクがあります。 |
|
安全でないデータ保存 |
弱い暗号化や資格情報の不適切な保存によって、ユーザーデータが漏洩するリスクがあります。 |
|
通信の安全性の欠如 |
パブリックネットワークを介した通信において、暗号化不足により盗聴・中間者攻撃を受ける可能性があります。 |
|
暗号処理の不備 |
鍵管理の不適切やアルゴリズム実装ミスなどが原因で、暗号化された情報の漏洩や破損が起こり得ます。 |
|
ハードコーディングされた認証情報 |
アプリ内に埋め込まれた認証情報が第三者に取得されることで、不正ア
クセスの原因になります。 |
サービス構成
当社のペネトレーションテストは、お客様のモバイルアプリケーションを多角的に、
かつ深く評価するために、以下の体系的な構成で実施されます。
静的解析(Static Analysis)
アプリケーションを実行しない状態で、ソースコード、バイナリ、構成ファイルを解析。以下を重点的に検証します。
- ハードコーディングされた認証情報、APIキーの検出
- 安全でない暗号化アルゴリズムの使用
- 不適切なSSL/TLS設定(証明書ピンニング未適用など)
- 情報漏洩につながるロギング
- 権限の過剰な要求
動的解析(Dynamic Analysis)
実際にアプリケーションを実行し、通信やメモリ内の動作を解析。以下を重点的に検証します
- 入出力バリデーションの不備(SQLi, XSSなど)
- 認証・認可の脆弱性
- 通信の盗聴・改ざんの可能性
- セッション管理の脆弱性
- メモリ内の機微情報
APIテスト
モバイルアプリケーションが連携するバックエンドAPIの脆弱性を検証。
- 認証・認可の不備
- データ漏洩
- DoS攻撃耐性
- ビジネスロジックの欠陥
テストシナリオ例
モバイルアプリ経由で社内ネットワークに侵入されるシナリオ
業務に使用されるモバイルアプリが社内ネットワークに接続可能な状態にある場合、不適切なネットワーク設計やアプリの通信制御の不備を突いて、外部の攻撃者がアプリを経由し、社内システムへ不正アクセスを試みるケースです。
検出結果(例)
- アプリ通信経路が暗号化されておらず、APIリクエストの盗聴・改ざんが可能
- ハードコードされたトークンを利用することで、攻撃者が社内APIにアクセス可能
- VPNやファイアウォールによる分離が不十分で、スマートフォン経由で社内資産にリーチ可能
- アプリの通信先に社内IPアドレスが含まれており、セグメント構成の誤りが判明
主な検査対象領域
安全でないデータ保存
ログイン情報、トークン、個人情報などが平文で保存されていないかを確認
認証・認可の不備
パスワードの強度やトークンの管理、認可制御の適切性を検証
通信の安全性欠如
SSL/TLSの検証不足や中間者攻撃(MitM)への脆弱性を確認
リバースエンジニアリング対策の不備
コード改ざんや解析への耐性を検証(難読化・署名検証など)
プラットフォームの不適切な使用
Android/iOSにおける推奨セキュリティガイドラインの逸脱を確認
クライアント側ロジックの欠陥
ローカルでの入力検証や認可処理の欠落によるバイパスの可否を確認
API のセキュリティ不備
モバイルアプリと連携するバックエンドAPIの認証・アクセス制御・データ漏洩リスクなどを検証
テスト実施の効果
| 効果 | 説明 |
|---|---|
|
アプリケーション全体の安全性向上 |
コードレベルから実行時の振る舞い、連携するAPIまでを網羅的に診断し、潜在的な脆弱性を包括的に洗い出します。 |
|
法規制・ガイドライン遵守 |
OWASP Mobile Top 10や各種規制(GDPR、HIPAAなど)への準拠状況を評価し、法的リスクを低減します。 |
|
ユーザーの信頼獲得 |
セキュリティ対策を強化することで、ユーザーデータの保護を明確にし、アプリケーションの信頼性とブランドイメージを向上させます。 |
|
開発サイクルの最適化 |
開発の早い段階で脆弱性を発見・修正することで、リリース後の重大な手戻りやコストの発生を防ぎ、開発効率を高めます。 |
|
情報漏洩・不正利用の防止 |
機微情報がアプリ内に不適切に保存されたり、通信経路で傍受されたりするリスクを特定し、ユーザーデータの安全を確保します。 |
レポート納品内容
発見された脆弱性の詳細から具体的な改善提案まで、貴社のセキュリティ強化に必要なすべての情報を網羅したレポートを納品いたします。
- サマリーレポート: テスト結果の概要、主要な脆弱性、推奨される対策。
- 脆弱性詳細レポート: 発見された各脆弱性の技術的な詳細、再現手順、 影響度、具体的な修正方法(コード例を含む)。
- 対応基準・ガイドライン準拠状況: OWASP等の基準に対する評価結 果。
- 改善提案とロードマップ: 脆弱性修正の優先順位付けと、今後のセキュ リティ強化計画。
- ブリーフィング: 報告書内容に関する説明会と質疑応答。
ペネトレーションテスト サービスご利用例
実際の費用は、ヒアリングの上、テストの対象範囲を決定した上で、個別にお見積もりいたします。
記載の前提条件に基づいた参考価格であり、金額を保証するものではありません。