スマートフォンアプリは、Webアプリケーションとは異なり、ユーザの端末にインストールして利用するという特性を持っています。この特性ゆえに、Webアプリケーションとは異なるセキュリティリスクが存在し、専用の診断が必要になります。
本記事では、スマホアプリ診断の基本から、Webアプリケーション診断との違い、スマホアプリ特有の診断観点までを解説します。
スマホアプリ診断とは
スマホアプリ診断とは、iOS・Androidのスマートフォンアプリを対象に、アプリ固有のセキュリティリスクを検出するための検査です。「スマートフォンアプリケーション診断」や「スマートフォンアプリ診断」「モバイルアプリ診断」と呼ばれることもあります。
脆弱性診断のプランの一つとして提供されることが一般的です。スマホアプリ本体の検査に加え、アプリからバックエンドサーバへのAPI通信も診断対象に含まれます。
スマホアプリ診断が必要な理由(Webアプリケーション診断との違い)
Webアプリケーション診断はサーバ側のアプリケーションを対象とした検査ですが、スマホアプリはユーザの端末上で動作するため、端末内にデータやロジックが存在するという根本的な違いがあります。
この違いにより、端末内のデータ保存方法、アプリ間のデータ共有、通信経路の安全性など、Webアプリケーション診断では対象とならない固有の診断観点が生まれます。
API通信の部分にはWebアプリケーション診断と共通する観点もありますが、スマホアプリ側の実装に起因するリスク(例えば、通信の暗号化に関する実装の不備など)は、スマホアプリ診断でなければ検出できません。そのため、スマホアプリを提供している場合は、Webアプリケーション診断とスマホアプリ診断の両方を実施することが望ましいです。
スマホアプリのセキュリティリスクと診断観点
ここでは、スマホアプリ特有の診断観点を中心に紹介します。
端末内のデータ保存
スマホアプリは、動作のために各種データを端末内に保存することがあります。認証トークンやセッション情報、キャッシュされた個人情報などの機密データが端末内に平文(暗号化されていない状態)で保存されていないかを検査します。
端末内のデータ保存に不備があると、端末の紛失や盗難の際に第三者にデータを読み取られたり、端末のバックアップから機密情報が漏えいしたりするリスクがあります。
通信の安全性
スマホアプリとバックエンドサーバ間の通信が、HTTPSで適切に暗号化されているかを検査します。特に、SSL/TLS証明書の検証が正しく実装されているかどうかは欠かせない観点です。
証明書の検証に不備があると、攻撃者が通信を中継する中間者攻撃(MITM攻撃)が成立し、通信内容の盗聴や改ざんが可能になるおそれがあります。
アプリ間連携の安全性
スマホアプリは、他のアプリとデータをやり取りする仕組みを持っています。AndroidではIntentやContentProvider、iOSではURL SchemeやUniversal Linksといった仕組みが該当します。
こうしたアプリ間連携の実装に不備があると、悪意のあるアプリからデータを不正に読み取られたり、意図しない動作を引き起こされたりする可能性があります。
難読化・耐タンパ性
スマホアプリはユーザの端末にインストールされるため、攻撃者がアプリのバイナリを入手して解析することが比較的容易です。アプリのソースコードが十分に難読化されていなければ、リバースエンジニアリングによって内部のロジックや秘密鍵などが解読されるおそれがあります。
また、アプリのバイナリを改ざんして再配布する攻撃(リパッケージ攻撃)への耐性も確認します。改ざんされたアプリが出回ると、正規ユーザが知らないうちに悪意のあるアプリを利用してしまう被害につながります。
API通信の観点
スマホアプリからバックエンドAPIへの通信において、認証・認可の不備やパラメータ改ざんへの耐性なども診断対象です。
スマホアプリの場合、通信内容がクライアント側で操作可能であることを前提にした設計が求められます。リクエストパラメータの改ざんや、本来アクセスできないはずのAPIエンドポイントへの直接アクセスなどが可能になっていないかを検査します。
iOS・Androidそれぞれの診断の違い
スマホアプリ診断の基本的な観点は、iOSとAndroidで共通しています。ただし、データの保存領域やアプリ間連携の仕組みなど、OSごとに仕様が異なる部分があるため、それぞれのOSの仕様に応じた検査が必要です。
両OSに対応したアプリを提供している場合は、原則としてiOS・Androidの両方を対象に診断を実施することを推奨します。一方のOSでは問題がなくても、もう一方のOSの実装では脆弱性が存在するケースも珍しくありません。
スマホアプリ診断の流れ
スマホアプリ診断は、一般的に以下のような流れで実施されます。
① ヒアリング・スコープ定義
診断対象のアプリの概要、対応OS、主要な機能、バックエンドAPIの構成などをヒアリングし、診断の範囲を定義します。アプリバイナリの提供方法(TestFlight、DeployGateなどの配信サービス経由か、直接ファイルを提供するかなど)についてもこの段階で確認します。
② 仕様確認・動作確認
診断対象のアプリをインストールし、画面遷移や機能の挙動を事前に確認します。テスト用のアカウントが必要な場合は、この段階までにご準備いただきます。なお、見積もりの段階でアプリを触らせていただけると、より正確なスコープ定義と費用の算出が可能になりますので、可能であれば早い段階でのアプリ共有をお願いしています。
③ 診断の実施
定義したスコープに基づき、セキュリティエンジニアが検査を実施します。端末内のデータ保存状況の確認、通信内容の解析、アプリのバイナリ解析など、スマホアプリ特有の手法を用いて検査を行います。診断のプランは予算に応じて異なりますので、ベンダと相談しながら最適なプランを選定しましょう。
④ 報告書の作成
検出された脆弱性をリスクの深刻度に応じて分類し、再現手順や想定される影響、具体的な対策案とともにまとめた報告書を作成します。
まとめ
スマホアプリ診断は、iOS・Androidアプリに特有のセキュリティリスクを検出するための検査です。端末内のデータ保存、通信の安全性、アプリ間連携、難読化・耐タンパ性など、Webアプリケーション診断ではカバーできない観点に焦点を当てます。
スマホアプリを提供している場合は、Webアプリケーション診断とあわせてスマホアプリ診断も実施することを推奨します。「自社アプリにどのような診断が必要か」「iOS・Androidのどちらを優先すべきか」といったお悩みがございましたら、お気軽にご相談ください。