ご利用の前に

Q. App Security Checkerとは何ですか?

  • App Security Checkerは顧客のモバイルアプリを対象に自動でアプリの脆弱性を診断して顧客にレポートする商品です。
  • マーケットストアに登録できない理由、間違ったフレームワークの使用、個人情報漏洩のリスクに関する様々な診断を行い、検査が完了するとメールやショートメッセージで結果を受信することができます。
  • 脆弱性への対応方法が記載された詳細なレポートが提供され、攻撃のシナリオ、修正すべきコードの位置および修正方法に関する詳しい説明を確認できます。

Q. App Security Checkerの使用手順について教えてください。

検査のリクエスト: 診断が必要なAPKファイルをアップロードします。

脆弱性に関するレポート: APKファイルの脆弱性および対応方法に関してレポートします。

脆弱性への対応が完了したAppのリリース: App Security Checkerの脆弱性レポートに基づいて脆弱性への対応を行った後、マーケットにリリースします。

Q. App Security Checkerで診断された結果はどのように確認できますか?

  • Security > Security Checker > App Security Checkerメニューで完了した診断に限ってWebとPDFで診断レポートを提供します。

Q. App Security Checkerはどのような脆弱性を診断しますか?

  • 'アプリの脆弱性'とはモバイルアプリの使用の際に発生し得るモバイルアプリのソースコードと動作方式などに存在するセキュリティ上の弱点をいいます。

  • 現在、App Security Checkerは次のような脆弱性リストを基準に診断を行っており、継続してアップデートされる予定です。

脆弱性の名前 説明 リスク
安全でないComponentの具現 Androidで提供するComponentの間違った具現により発生し得るセキュリティ上の問題について検査します。 意図していなかった他のApplicationから敏感な情報をコントロールするComponentを呼び出して機能を悪用する可能性があり、intentを窃取するspoofing攻撃または正常なComponentを装った悪意のあるComponentを表示するphishing攻撃に利用される可能性があります。
敏感な情報の漏洩のリスク 規約に表示すべき敏感な情報の使用または悪意のある Applicationの攻撃の対象になる可能性がある敏感な情報の漏洩についてリスクを検査します。 敏感な情報を顧客の同意なしに収集した場合、法的な紛争または罰金による金銭的な損失を被る可能性があります。または、悪意のあるApplicationによって敏感な情報が漏洩するリスクがあります。
安全でないBuild設定 セキュリティ上リスクのあるバージョンのSDKの使用または攻撃の対象になり得るApplicationのBuild設定を検査します。 脆弱なバージョンのSDKを使った場合、知られた脆弱性を利用した攻撃が可能になります。また、間違ったBuild設定を使ってApplicationのLogicを分析して改ざんできるという脆弱性が発生する恐れがあります。
安全でないSSLの具現 マーケットに登録できない理由になったり、情報漏洩の原因になり得る安全でないSSLの具現について検査します。 マーケットへの登録を断られる可能性があり、中間者の攻撃によってリクエストおよびレスポンスの改ざんを利用した情報窃取および改ざんしたデータの転送などのリスクがあります。
安全でない暗号化の使用 セキュリティ上奨励しない安全でない暗号化の使用について検査します。 事前攻撃または再転送攻撃により平文が漏洩したり改ざんされた暗号文が転送されるリスクがあります。
Null Pointの逆参照 変数に対し、NULL値のチェックが不十分なコードを検査します。 NullPointExceptionが発生するコードは悪意のあるApplicationの攻撃に悪用されるリスクがあります。

Q. App Security Checkerは誰が使用できますか?

  • 従来のモバイルアプリの脆弱性を補完して安定性を高めたい顧客
  • 新しいサービスの発売の前に別途のセキュリティ検査が必要な顧客
  • 高価の脆弱性診断ツールやセキュリティコンサルティングのコストが負担な顧客

App Security Checkerの診断結果

誤検知と未検知の可能性

App Security Checkerは潜在の脆弱性まで見つけ出す方式に設計/具現され、検知率は最大限に高め未検知の可能性は最小化しました。しかし、すべての脆弱性を100%完璧に検知できるとは保障できません。

診断結果の閲覧

診断が完了すると、設定した通知方法によってメールや携帯電話のショートメッセージで直ちに通知を受信することができます。アプリの脆弱性診断結果レポートもすぐに確認できます。

発見された脆弱性への対応

App Security Checkerの診断が完了すると、レポートを提供します。レポートには発見された脆弱性に関する対応方法が含まれているので、ガイドとして活用できます。

App Security Checker診断のリクエスト

Step 1. コンソールにアクセス

① コンソールにアクセスした後、Security > Security Checker > App Security Checkerメニューに移動します。

② 利用のお申込みボタンをクリックしてApp Security Checker利用の申込みを行います。

Step 2. 利用規約に同意

① サービスの利用規約を確認して同意します。(チェックすると'確認' ボタンが有効になります。)

確認ボタンをクリックすると、App Security Checkerサービスを利用できます。

  • 利用規約への同意は最初の1回のみ確認します。

Step 3. 診断作業の作成

診断に必要な情報を入力します。

* モバイルアプリにセキュリティソリューションが適用されている場合、正確な脆弱性の診断が不可能です。正確な診断のためにセキュリティソリューションが適用されていないアプリを登録してください。

入力が必要な内容は大きく3つです。

  • APKファイルのアップロード
  • 通知対象設定
  • メモ
1. APKファイルをアップロード

① マウスを使って対象のAPKファイルをドラッグ・アンド・ドロップするか項目をクリックします。

② 対象のAPKファイルを選択してアップロードします。

① アップロードされたファイルを確認します。

2. 通知対象を設定

① 通知対象管理リストに予め設定しておいた対象にApp Security Checkerの診断結果が送られます。

② App Security Checker診断1件当たりの通知対象者を設定できます。

③ 通知方法としては3つの方法(メール、ショートメッセージ、メール + ショートメッセージ)があります。

3. メモを入力

① 診断に必要なメモの内容を入力します。

② ページの下の設定完了ボタンをクリックします。

App Security Checkerは最初の診断の後、同一のパッケージに対し、60日間2件の無料診断を提供します。

③ 最初の診断の際、下にポップアップが表示され、確認をクリックすると課金が始まります。

④ 無料診断をすべて使用した後も下にポップアップが表示され、確認をクリックすると課金が始まります。

  • 確認をクリックせずにポップアップウィンドウを閉じた場合は課金されません。

③ App Security Checkerで提供する無料診断の回数が残っている場合、下のポップアップのように残りの無料診断の回数を確認できます。

④ 下のポップアップ画面で確認をクリックすると、無料診断2回のうち1回を使用することになり、残りの無料診断の回数は1回です。

  • 60日以内に同一のパッケージを再診断すると、無料診断2回をすべて使用することになります。

  • 60日以内に同一のパッケージを再診断すると、無料診断の回数をすべて使用したので、追加課金が発生します。

  • 上のポップアップウィンドウで確認をクリックすると、App Security Checkerの診断が始まります。

  • 先にリクエストされた診断が多い場合は診断待機中のステータスが維持されることがあり、待機の後、診断を始めます。

Step 4. 診断作業作成後の内容の確認

診断作業を作成した後、詳細内容を確認します。

1. 詳細内容には次の内容が表示されています。("診断待機中"の際は'ファイル名'、'ステータス'、 'メモ'のみ表示され、診断中に残りの内容も埋められます。)

  • アプリ名: アップロードされたアプリの名前です。
  • パッケージ名: アップロードされたアプリのパッケージ名です。
  • ファイル名: アップロードされたファイルの名前です。
  • アプリのバージョン: アップロードされたアプリのバージョンです。
  • Analyzerのバージョン: 診断の際に使われるAnalyzerのバージョンです。
  • 開始時刻: 診断が開始された時刻です。
  • 終了時刻: 診断が終了した時刻です。
  • ステータス: 合計5種類のステータスがあります。
    • 診断待機中: 診断が始まっていない状態です。この状態でのみ診断をキャンセルできます。
    • 診断中: 診断が進行中です。この状態ではキャンセルできません。
    • 診断完了: 診断が成功裏に完了した状態です。
    • 診断の失敗: 診断に失敗した状態です。
    • 診断のキャンセル: ユーザーまたは管理者が診断をキャンセルした状態です。
  • 脆弱性の数: アップロードされたアプリで診断した脆弱性の数です。
  • メモ: 診断の際にリクエストしたメモの内容です。
  • 結果: 最終診断の結果です。'診断のステータス'によって表示される内容が違います。

App Security Checkerの診断作業のキャンセル

App Security Checkerサービスで作成された診断作業をキャンセルできます。

作成された診断作業の最初のステータスは診断待機中です。診断作業のステータスが診断待機中の場合にのみ診断作業のキャンセルが可能です。

1. 一括キャンセル: 診断作業のステータスが診断待機中の診断作業がすべてキャンセルされます。

2. キャンセル: 診断作業のステータスが診断待機中の1個の診断作業のみキャンセルされます。(キャンセルボタンが位置した列(row)の診断作業がキャンセル)

App Security Checkerレポートの確認

診断が完了すると、レポート ボタンが表示され、レポートをクリックすればApp Security Checkerレポートを確認できます。

1. レポートを実行すると、'メインイメージ'と'レポート案内文'を確認できます。'レポート案内文'では'診断項目'と'レポート項目'について説明します。

2. その下には分析されたアプリの基本情報、権限情報、要約情報が表示されます。

① 基本情報: アプリ名、アプリのバージョンなどアプリの基本的な情報を表示します。

② 権限情報: アプリが使っている権限情報を表示します。

③ 要約情報: App-Security-Checkerで診断する項目に関する要約情報を表示します。

3. その下では詳しい診断の内容を確認できます。

① 緑色のBox: 診断されたセキュリティの問題について知らせる画面です。 現在、例題の画面では"安全でない暗号化の使用"というセキュリティの問題(危険度は'High')が合計2件発生したという内容を知らせています。

② 問題#1 : 診断された2つの"安全でない暗号化の使用"というセキュリティの問題のうち1つの問題の内容を表示します。

③ 問題#2 : 診断された2つの"安全でない暗号化の使用"というセキュリティの問題のうち残り1つの問題の内容を表示します。

④ 黄色のBox: 問題#1("診断された2つの"安全でない暗号化の使用"というセキュリティの問題のうち1つの問題の内容")を診断したユーザーのソースコードを表示します。

※ 実際のソースコードはApp Security Checkerの診断のために自主的に使用する表現式に従います。

  • 問題#2のソースコードは大きく2つの領域に分かれて表示されます。

    1. ソースコードのうち脆弱な部分が呼び出された領域を表します。

    2. ソースコードのうち脆弱な部分を呼び出す領域を表します。

  • 脆弱な領域を確認した後、修正ガイドを見ながらソースコードの脆弱性に対する措置を取ることができます。修正ガイドのリンクをクリックすると、修正方法の案内に移動します。

1. 診断された問題に関する修正ガイドを確認することができます。

ご参考

本商品はグローバルリージョンサービスとしても提供されます。

関連情報のご確認

次のガイドで関連情報を確認できます。

に対する検索結果は~件です。 ""

    に対する検索結果がありません。 ""

    処理中...