「Critical Hit」は、お客様のモバイルアプリケーションを様々な観点から検証し、アプリケーションに存在する潜在的なセキュリティリスクを検知、報告するサービスです。当社の経験豊富な診断員が実際の攻撃者と同じように不正実行を試みた結果に基づいて実証的な検証・分析を行います。
セキュリティ診断が必要となる背景
近年では日本も高度な標的型攻撃のターゲットにされており、様々な業種でサイバー攻撃による被害が増加しています。個人情報の漏えいや金融機関アプリでの不正送金などが連日のようにニュースに取り上げられる昨今、Web アプリやモバイルアプリを含め、インターネットに繋がるあらゆるものが攻撃の脅威にさらされているといえます。とりわけキャッシュレス化の推進によって機能が拡充されている金融系アプリや、テレワークで使用する業務用アプリなどは自ずと秘匿性の高いデータを扱うことから、細心の注意を払ってセキュリティ対策を行う必要があります。
また、いわゆる「フリーミアム」のモデルによってビジネスが成立しているゲームアプリも「チート」という形で攻撃が行われています。これは運営会社のビジネスロジックやゲーム全体のバランスを破壊することに繋がるため検知・対処する必要がありますが、人気タイトルはそれだけ攻撃者が増える傾向にあり、運用で対処するだけでは限界があります。
いずれのアプリでも、どのようにすれば攻撃を防げるのでしょうか。従来ではサーバー側で一元的なセキュリティ対策を行うことが一般的でした。しかし昨今ではサーバーレスなどの新しいフレームワークの普及に伴い、フロントエンド/クライアントサイドに重要な機能があったり、機微なデータが格納されているケースが増加しており、リバースエンジニアリングへの耐性も必要になることがあります。また、通信においては TLS の適用によって中間者攻撃を緩和できることが一般的に知られていますが、ゲームアプリなどでは MATE (Man At The End) 攻撃と呼ばれるエンドユーザー自身による通信の改ざんによって攻撃を受ける恐れがあるため、TLS だけでは対策として不十分です。
さらに、攻撃方法は年々多様化しており、また、プラットフォームやアプリの特性によってその対策方法も多岐にわたるため、その全てをアプリ開発者がキャッチアップし、実装していくことは困難になってきています。
Critical Hit の概要
ゲームや業務情報活用アプリと同じく、コンテンツの閲覧を正規のユーザーのみに許諾する DRM もまたハッキングに対抗しなければならないシステムの典型例といえます。完全な独自開発となる DRM ソリューション「CypherGuard」シリーズを手がける当社がそのノウハウを結集した「Critical Hit」は、ハッカー(攻撃者)からの攻撃を想定した、疑似攻撃型セキュリティ診断です。攻撃者視点で診断を実施し、現状のリスクや対策方法のアドバイスも行います。
※エッセンシャル版については一般的な脆弱性に対する備えができているかを検証するものであり、診断の観点・内容が異なります。
■ 特徴
- 当社の経験豊富な診断員が、ハッキングやチートを試みる攻撃者と同じ立場から実際にハッキング・チートを行った結果をレポートします。
- 原理的な問題点の指摘にとどまらず、実際に行われるであろう現実的な被害を伴うハッキングを実証してレポートします。
- アプリが改変されるタイプのハッキングに加えて、サーバーとの通信に干渉するタイプやツールによってメモリを改変するタイプといったハッキング・チートにも対応しています。
- アプリのソースコードを開示していただく必要はなく、アプリのユーザーと同じ立場で診断を行います。
- 問題点の指摘に加えて、具体的な対処方法のご提案も可能です。
- 懸念している脅威シナリオやサイバー攻撃から最適なコースをお選びいただけます。
- Android と iOS の両プラットフォームに対応し、Unity で書かれたゲームアプリにも対応します。
- 本サービスは経済産業省の定めた「情報セキュリティサービス基準」に適合するサービスとして「情報セキュリティサービス基準適合サービスリスト」に掲載されています(脆弱性診断サービス、サービス登録番号: 021-0014-20)。
モバイルアプリ診断 スタンダード版 |
モバイルアプリ診断 エッセンシャル版 |
チート耐性診断 | WEBアプリ診断 | |
---|---|---|---|---|
診断対象 | モバイルアプリ | モバイルアプリ | ゲームアプリ | WEBアプリ |
診断種別 | 脆弱性診断 | 脆弱性診断 | チート診断 | 脆弱性診断 |
検査レベル | OWASP MASVS ※1 ※2 L1 準拠 OWASP MASVS L2 準拠 ※ホワイトボックスでなければ診断できない項目は対象外です。 |
アプリが備えるべき必須のセキュリティ項目 (OWASP MASVS L1から抜粋した独自項目) |
独自項目 | OWASP ASVS ※3 L1 をベースとした独自項目 |
診断方法 | グレイボックス手動診断 | ブラックボックス 当社オリジナル自動診断ツール 一部手動診断 |
ブラックボックス手動診断 | ブラックボックス手動診断 |
診断準備期間 | 5営業日~ | 2営業日 | 5営業日~ | 2~5営業日 |
診断実施期間 | 7営業日~ | 5営業日 | 10営業日~ | 5営業日~ |
納品物 | 診断結果報告書 | 診断結果報告書 | 診断結果報告書 | 診断結果報告書 |
診断料金(税込) | 都度見積もり | 154万円 (うち消費税 14万円) |
都度見積もり | 都度見積もり |
※1 OWASP:Open Web Application Security Project
※2 MASVS:Mobile Application Security Verification Standard(モバイルアプリセキュリティ検証基準)
※3 ASVS:Application Security Verification Standard (アプリケーションセキュリティ検証基準)
モバイルアプリ診断 スタンダード版(エンタープライズ向け)
特長
- 最新のセキュリティ基準に沿った網羅的な検証
モバイルアプリケーションのセキュリティ診断におけるグローバルスタンダードとなっている OWASP MASTG をベースとした網羅的な診断を行います。 - 経験豊富な診断員による手動診断
自動ツールだけではなく、経験豊富な診断員が手動で解析を行い、独自の攻撃用スクリプトを作成します。 - 攻撃者視点での脅威シナリオに基づいた評価
チェックシートに沿って原理的な脆弱性を指摘するだけではなく、アプリの脅威シナリオに応じた現実的に想定されるリスクに基づいて評価、報告を行います。
モバイルアプリ診断 エッセンシャル版(エンタープライズ向け)
特長
- モバイルアプリが最低限備えておくべき項目を検証
当社が長年にわたり行ってきた数々の診断の経験から、特に重要と考えられる項目に特化して診断します。 - 自動ツールに加えて手動での検査も実施
独自の自動診断ツールによる診断に加え、当社セキュリティエンジニアの観点からアプリの重要な機能に絞ってブラックボックスでの診断を実施します。
※サードパーティのものや本番環境のリソースは診断対象外とします。 - 期間とコストを抑えたリーズナブルな診断
機能数にかかわらず固定の費用と期間で、一般的な脆弱性に対する備えができているかを検証します。
チート耐性診断
特長
- 最新のセキュリティ基準に沿った網羅的な検証
リバースエンジニアリング耐性に対する網羅的な検証項目をチェックした上で、ゲームにおいて実際に問題となり得るチートが成立するか検証します。レポートでは診断期間内に成立したチートの再現方法やその対策についてご報告します。 - 豊富な診断実績
2014 年からゲームアプリの診断を開始し、これまで日本でもトップレベルの人気タイトルを含めた 400 以上のゲームアプリ診断実績があります。 - ゲームアプリ診断のスペシャリストが担当
CEDECでゲームアプリのセキュリティについて講演したメンバーをはじめ、深い見識を有したスペシャリストがゲームロジックを意識した専門的な診断を行います。
Web アプリ診断
特長
- 最新のセキュリティ基準に沿った網羅的な検証
Web アプリケーションのセキュリティ診断におけるグローバルスタンダードとなっている OWASP ASVS の検証方法を取り入れた網羅的な診断を行います。 - 経験豊富な診断員による手動診断
自動診断ツールだけではなく、イスラエルのセキュリティ企業の元で経験を積んだスペシャリストを中心とする診断員が手動で解析、攻撃を行います。 - 攻撃者視点での脅威シナリオに基づいた評価
チェックシートに沿って原理的な脆弱性を指摘するだけではなく、アプリの脅威シナリオに応じた現実的に想定されるリスクに基づいて評価、報告を行います。 - サーバーレス Web アプリにも対応
昨今利用が増加しているサーバーレスアーキテクチャの診断に対応しています。
お問い合わせから診断完了までの流れ
※再診断のほか、診断結果の報告会もオプションです。
お客様のセキュリティ要件をヒアリングさせていただき、その内容をベースに最善の診断をご提案致します。詳しくはお問い合わせフォームからお問い合わせくださいませ。
なお、お問い合わせの際は、お問合せ内容と併せて以下のような情報を共有いただけますと幸いです。
■ OS:
■ アプリの概要:
■ アプリの画面数(概算):
■ 懸念している脅威シナリオやサイバー攻撃など:
導入事例
企業 | コース | 内容 |
---|---|---|
金融機関 | モバイルアプリ診断 | 金融機関が提供するモバイルアプリにおいて、サイバー攻撃による個人情報流出などのリスクが存在しないか実証的なセキュリティ評価を実施。 |
自動車メーカー | モバイルアプリ診断 | 商談中の顧客情報を扱う営業ツールアプリで個人情報流出に繋がる脆弱性がないかを診断するために Critical Hit を採用。 |
ゲーム事業者 A 社 | チート耐性診断 | 会員向けゲームアプリに対して、第三者機関によるハッキング対策の有効性を評価するサービスとして Critical Hit を導入。診断内容を専用に策定し年間 100 アプリ以上を診断。 |
ゲーム事業者 B 社 | チート耐性診断 | 独自に対策を施したアプリでチートが多発しているため、更なる対策強化として Critical Hit を受診。チート耐性の診断に加えて、具体的な対処方法までを提供。 |
Web サービス会社 | Web アプリ診断 | 地域特化型の SNS を診断。 |
暗号通貨事業者 | Web アプリ診断 | ブロックチェーンを利用した NFT 販売サービスを診断。 |
ゲーム事業者 C 社 | コンサルティング | 外注先の各ゲームアプリ開発ベンダーへ提示するセキュリティガイドラインの策定を支援。開発前・開発中・開発後の各段階で必要なチート対策を定義。 |