Critical Hit

「Critical Hit」は、お客様のモバイルアプリケーションを様々な観点から検証し、アプリケーションに存在する潜在的なセキュリティリスクを検知、報告するサービスです。当社の経験豊富な診断員が実際の攻撃者と同じように不正実行を試みた結果に基づいて実証的な検証・分析を行います。

セキュリティ診断が必要となる背景

近年では日本も高度な標的型攻撃のターゲットにされており、様々な業種でサイバー攻撃による被害が増加しています。個人情報の漏洩や金融機関アプリでの不正送金などが連日のようにニュースに取り上げられる昨今、Web アプリやモバイルアプリを含め、インターネットに繋がるあらゆるものが攻撃の脅威にさらされているといえます。とりわけキャッシュレス化の推進によって機能が拡充されている金融系アプリや、テレワークで使用する業務用アプリなどは自ずと秘匿性の高いデータを扱うことから、細心の注意を払ってセキュリティ対策を行う必要があります。

また、いわゆる「フリーミアム」のモデルによってビジネスが成立しているゲームアプリも「チート」という形で攻撃が行われています。これは運営会社のビジネスロジックやゲーム全体のバランスを破壊することに繋がるため検知、対処する必要がありますが、人気タイトルはそれだけ攻撃者が増える傾向にあり、運用で対処するだけでは限界があります。

いずれのアプリでも、どのようにすれば攻撃を防げるのでしょうか。従来ではサーバー側で一元的なセキュリティ対策を行うことが一般的でした。しかし昨今ではサーバーレスなどの新しいフレームワークの普及に伴い、フロントエンド/クライアントサイドに重要な機能があったり、機微なデータが格納されているケースが増加しており、リバースエンジニアリングへの耐性も必要になることがあります。また、通信においては TLS の適用によって中間者攻撃を緩和することが一般的に知られていますが、ゲームアプリなどでは MATE(Man At The End)攻撃と呼ばれるエンドユーザー自身による通信の改ざんによって攻撃される恐れがあるため、TLS だけでは対策として不十分です。

さらに、攻撃方法は年々多様化しており、また、プラットフォームやアプリの特性によってその対策方法も多岐にわたるため、その全てをアプリ開発者がキャッチアップし、実装していくことは困難になってきています。

Critical Hit の概要

ゲームや業務情報活用アプリと同じく、コンテンツの閲覧を正規のユーザーのみに許諾する DRM もまたハッキングに対抗しなければならないシステムの典型例といえます。完全な独自開発となる DRM ソリューション「CypherGuard」シリーズを手がける当社がそのノウハウを結集した「Critical Hit」は、ハッカー(攻撃者)からの攻撃を想定した、疑似攻撃型セキュリティ診断です。攻撃者視点で診断を実施し、現状のリスクや対策方法のアドバイスも行います。

■ 特徴

  • 当社の経験豊富な診断員が、ハッキングやチートを試みる攻撃者と同じ立場から実際にハッキング・チートを行った結果をレポートします。
  • 原理的な問題点の指摘にとどまらず、実際に行われるであろう現実的な被害を伴うハッキングを実証してレポートします。
  • アプリが改変されるタイプのハッキングに加えて、サーバーとの通信に干渉するタイプやツールによってメモリを改変するタイプといったハッキング・チートにも対応しています。
  • アプリのソースコードを開示していただく必要はなく、アプリのユーザーと同じ立場で診断を行います。
  • 問題点の指摘に加えて、具体的な対処方法のご提案も可能です。
  • 懸念している脅威シナリオやサイバー攻撃から最適なコースをお選びいただけます。
  • Android と iOS の両プラットフォームに対応し、Unity で書かれたゲームアプリにも対応します。
エンタープライズ向けスマホアプリ診断 チート耐性診断 WEBアプリ診断 ペネトレーションテスト
診断対象 スマホアプリ ゲームアプリ WEBアプリ 別途相談
診断種別 脆弱性診断 チート診断 脆弱性診断 侵入テスト
検査レベル OWASP MASVS L1 準拠
OWASP MASVS L2 準拠
独自項目 OWASP MASVS L1 準拠
OWASP MASVS L2 準拠
診断方法 グレイボックス(手動) ブラックボックス(手動) ブラックボックス(手動) ブラックボックス(手動)
診断準備期間 5営業日~ 5営業日~ 5営業日~ 別途相談
診断実施期間 7営業日~ 10営業日~ 5営業日~ 別途相談
納品物 診断結果報告書 診断結果報告書 診断結果報告書 診断結果報告書
診断料金 都度見積もり 都度見積もり 都度見積もり 都度見積もり
エンタープライズ向けスマホアプリ診断

特長

  • 最新のセキュリティ基準に沿った網羅的な検証
    モバイルアプリケーションのセキュリティ診断におけるグローバルスタンダードとなっている OWASP MSTG に準拠した網羅的な診断を行います。
  • 経験豊富な診断員による手動診断
    自動ツールだけではなく、経験豊富な診断員が手動で解析を行い、独自の攻撃用スクリプトを作成します。
  • 攻撃者視点での脅威シナリオに基づいた評価
    チェックシートに沿って原理的な脆弱性を指摘するだけではなく、アプリの脅威シナリオに応じた現実的に想定されるリスクに基づいて評価、報告を行います。
チート耐性診断

特長

  • 最新のセキュリティ基準に沿った網羅的な検証
    リバースエンジニアリング耐性に対する網羅的な検証項目をチェックした上で、ゲームにおいて実際に問題となり得るチートが成立するか検証します。レポートでは診断期間内に成立したチートの再現方法やその対策についてご報告します。
  • 豊富な診断実績
    2014 年からゲームアプリの診断を開始し、これまで日本でもトップレベルの人気タイトルを含めた 400 以上のゲームアプリ診断実績があります。
  • ゲームアプリ診断のスペシャリストが担当
    CEDECでゲームアプリのセキュリティについて講演したメンバーをはじめ、深い見識を有したスペシャリストがゲームロジックを意識した専門的な診断を行います。
Web アプリ診断

特長

  • 最新のセキュリティ基準に沿った網羅的な検証
    モバイルアプリケーションのセキュリティ診断におけるグローバルスタンダードとなっている OWASP ASVS や OWASP サーバーレス Top 10 に準拠した網羅的な診断を行います。
  • 経験豊富な診断員による手動診断
    自動診断ツールだけではなく、イスラエルのセキュリティ企業の元で経験を積んだスペシャリストが手動で解析、攻撃を行います。
  • 攻撃者視点での脅威シナリオに基づいた評価
    チェックシートに沿って原理的な脆弱性を指摘するだけではなく、アプリの脅威シナリオに応じた現実的に想定されるリスクに基づいて評価、報告を行います。
  • サーバーレス Web アプリにも対応
    昨今利用が増加しているサーバーレスアーキテクチャの診断に対応しています。
ペネトレーションテスト ※2021年正式サービス開始予定

特長

  • 最新のセキュリティ基準に沿った網羅的な検証
    NIST SP 800-115 に基づいた外部テストを実施します。
  • 攻撃者視点での脅威シナリオに基づいた評価
    ダークウェブを含めた情報収集やハッキングデバイスを使ったリモートでの内部侵入テストも実施予定です。

■ お問い合わせから診断完了までの流れ

お問い合わせから診断完了までの流れ
お客様のセキュリティ要件をヒアリングさせていただき、その内容をベースに最善の診断をご提案致します。詳しくはお問い合わせフォームからお問い合わせくださいませ。

なお、お問い合わせの際は、お問合せ内容と併せて以下のような情報を共有いただけますと幸いです。

■ OS:
■ アプリの概要:
■ アプリの画面数(概算):
■ 懸念している脅威シナリオやサイバー攻撃など:

■ 採用事例

株式会社サミーネットワークス様 採用事例

企業 コース 内容
金融機関 スマホアプリ診断 金融機関が提供するスマホアプリにおいて、サイバー攻撃による個人情報流出などのリスクが存在しないか実証的なセキュリティ評価を実施。
自動車メーカー スマホアプリ診断 商談中の顧客情報を扱う営業ツールアプリで個人情報流出に繋がる脆弱性がないかを診断するために Critical Hit を採用。
ゲーム事業者 A 社 チート耐性診断 会員向けゲームアプリに対して、第三者機関によるハッキング対策の有効性を評価するサービスとして Critical Hit を導入。診断内容を専用に策定し年間 100 アプ以上を診断。
ゲーム事業者 B 社 チート耐性診断 独自に対策を施したアプリでチートが多発しているため、更なる対策強化として Critical Hit を受診。チート耐性の診断に加えて、具体的な対処方法までを提供。
Web サービス会社社 Web アプリ診断 地域特化型の SNS を診断。
暗号通貨事業者社 Web アプリ診断 ブロックチェーンを利用した NFT 販売サービを診断。
ゲーム事業者 C 社 コンサルティング 外注先の各ゲームアプリ開発ベンダーへ提示するセキュリティガイドラインの策定を支援。開発前・開発中・開発後の各段階で必要なチート対策を定義。