エルフコアは包括的なリスク評価を専門としており、モバイルアプリケーションのセキュリティ状況を徹底的にテストします。iOSおよびAndroidプラットフォームに精通した業界をリードする研究者およびセキュリティエンジニアからなる私たちのチームは、深いテストを実施します。これには、デバイス上のローカルなセキュリティ問題の徹底的な調査、バックエンドのウェブサービスの精査、およびそれらを結び付けるAPIの解剖が含まれます。エルフコアと共に、モバイルアプリの防衛を新たな高みへと引き上げ、潜在的な脆弱性を洞察し、組織が機密データを積極的に保護する力をつけましょう。動的なモバイルランドスケープの進化する脅威に対して、あなたのモバイルアプリのセキュリティを強化をおすすめします。

モバイルAPPペネトレーションテスト方法論

エルフコアは、構造化された方法論に基づいてテストを行います。


01. 範囲の定義

ウェブアプリケーションの評価を行う前に、エルフコアはクライアントの範囲を明確に定義します。この段階で、エルフコアとクライアント組織の間でオープンなコミュニケーションを図り、快適な評価基盤を確立します。

• 組織のどのアプリケーションまたはドメインをスキャン/テストするかを決定する
• 評価の対象から除外することを周知する（特定のページ/サブドメイン）
• 正式なテスト期間を決定し、時間帯を確認する

 

02. 情報収集

03. リストアップ

04. 攻撃と侵入

05. 報告

06. 修復テスト

アプリ内の脆弱性の探索

モバイルアプリがビジネスや公共サービスの中心となる時代において、強固なセキュリティを確保することは非常に重要です。金融取引から医療のやり取りまで、リスクは高く、脆弱性は常に存在しています。

モバイルAPPペネトレーションテストにおける期待事項

OSおよびAndroidプラットフォームにおける包括的なサポート 私たちはiOSとAndroidのペネトレーションテストにおいて深い専門知識を有しており、各モバイルアーキテクチャに固有のセキュリティ上の課題を深く理解しています。この専門性により、iOSアプリのリバースエンジニアリングやAndroidアプリケーションを狙うマルウェアの脅威に対処するなど、特定の懸念事項に対処するためのアセスメントをカスタマイズすることができます。

私たちが行うすべてのモバイルセキュリティ評価には、複数の攻撃ベクトルとリスクのシミュレーションが含まれています。これには、安全でないストレージの評価、盗まれたデバイスのリスク評価、モバイルマルウェアの脅威の精査、認証されたユーザーおよび認証されていないアプリユーザーのセキュリティテストが含まれます。もしアプリが社内のモバイルデバイスでホストされている場合、企業環境を再現するカスタマイズされたシナリオでカバーします。

静的、動的、ソースコードペネトレーションテスト

静的分析と動的分析の両方を統合し、セキュリティ専門家はアプリの休止状態と実行時の両方でテストを行い、あらゆる脆弱性を特定します。この徹底的な方法論は、クレデンシャルの安全でないストレージ、Androidバックアップを含む機密アプリデータなど、主要な脆弱性にも焦点を当てています。私たちのiOS/Android専門家はアプリ自体を逆コンパイルまたはリバースエンジニアリングすることができますが、アプリケーションの完全なソースコードレビューを通じてさらに多くの脆弱性を特定することができます。ペネトレーションテスト中にアプリのソースコードをレビューすることで、深く埋もれた脆弱性も特定し、軽減することができます。

モバイルセキュリティと報告の専門知識

標準およびジェイルブレイクされたデバイスのテスト 私たちのモバイルセキュリティ評価は、ジェイルブレイクされたiOSおよびルート化されたAndroidデバイスを含む、複数の攻撃ベクトルと脅威を考慮しています。両オプションの脆弱性を比較することで、献身的な攻撃者から一般ユーザーまで、複数のユーザータイプからのセキュリティリスクを示すことができます。

要約レポートと技術詳細レポート

ドキュメンテーションと報告は、モバイルアプリのペネトレーションテストの成功の鍵です。私たちは、経営陣とアプリ開発者の両方のニーズに応えるために、エグゼクティブサマリーと技術的詳細の両方を組み込んでいます。具体的には、この詳細なペネトレーションテストの報告は以下のように分類されます。

要約リスクおよびアプリの強み/弱み/リスク優先の脆弱性と説明/脆弱なコードセクション（ソースコードレビューが統合されている場合）/攻撃ウォークスルー（スクリーンショットを含む）/修復および防御の推奨事項

Webペネトレーションテストの診断ツール

Elves Core では様々な診断ツールを駆使してペネトレーションテストを行います。

主な診断ツール

診断項目

認証セキュリティ診断 破損したオブジェクトレベル認証診断 破損した認証診断 破損したオブジェクトプロパティレベル認証診断 制限されていないリソース消費診断 制限されていないリソース消費診断 破損した関数レベルの認証診断 機密ビジネスフローへの無制限アクセス診断 サーバー側のリクエスト偽造診断 セキュリティの誤構成確認 適切でないインベントリ管理 安全でないAPIの利用診断 複雑でカスタマイズ可能な攻撃シナリオ診断 脆弱性を狙う巧妙な攻撃 高度な偵察 ゼロデイ脆弱性診断 高度な回避技術/バイパス技術 高度持続型攻撃のシミュレーション シナリオベース診断 総合的なレポーティング

ペネトレーションテスト（侵入テスト）とは

ペネトレーションテスト（略称：ペンテスト）とは、ホワイトハッカーと呼ばれる専門知識を持った技術者が実際に、様々な技術を駆使してネットワークに接続されているシステムに攻撃・侵入を行い、システムに脆弱性がないかどうかをテストする方法です。

ペネトレーションテストでは悪意のある攻撃者と同様にあらゆるハッキング方法やツールを用いて攻撃を行います。ペネトレーションテストの精度、結果はホワイトハッカーの技術、経験の差により大きく左右されます。

エルフコアのペネトレーションは実際に世界で活躍するホワイトハッカー集団(Nullit・ナルト)が行なってるため、世界基準の技術を持ってテストを行うことができます。

【ホワイトハッカー集団”Nullit”とは？】
■世界30ヶ国超から参加する1000名を超える多様なスキルを持ったホワイトハッカー集団
■Web、スマホアプリ、サーバ、ネットワーク、リバースエンジニアリングなどの様々な得意分野を所有
■日本在住のホワイトハッカーとして15年以上活躍するハッカーが、厳選したメンバーのチームを編成
■定期診断サービスをご利用の場合には、Nullit（ナルト）のロゴを貴社サービスに掲載可。掲載することで、Nullitが定期診断している事が分かり、サイバー攻撃を未然に防ぐのに役立ちます。