-Related Products-モバイルの保護YESsafe
モバイル脅威は日々進化し、増加しています。
大手企業のアプリや各ストアで配布されているアプリも例外ではありません。
「マンインザアプリよる攻撃や改ざん」「マルウェアによる情報漏洩や踏み台」「OS脆弱性のエクスプロイト」「キーロギングや画面読み取り・スクリーンショットなどによる情報漏洩」などの脅威に対しての対策は常に行わなければなりません。
代表的なモバイルの脅威や脆弱性
| No | 脅威•脆弱性 | 概要 |
|---|---|---|
| 1 | アクセス制御の不備 | 攻撃者がユーザー・アカウントへのアクセスに利用できる脆弱性 |
| 2 | 暗号化の失敗 | 機密データを保護できない場合、クレジットカードや個人情報窃取の格好の標的になる可能性 |
| 3 | インジェクション | 攻撃者がアプリケーションに意図しない操作実行させる為に無効なデータをWebアプリケーションに送信 |
| 4 | 安全が確認されない不安な設計 | 設計上の欠陥に関連するリスク |
| 5 | セキュリティの設定ミス | 設計または構成の弱点が設定エラーまたは欠点に起因 |
| 6 | 脆弱で古いコンポーネント | 一部のコンポーネントが古くなり攻撃に対して脆弱 |
| 7 | 認証の失敗 | 認証機能が正しく設定されてなく、情報が盗まれる可能性 |
| 8 | SWとデータの整合性不具合 | データ復元処理の欠陥によるリモート攻撃を実行 |
| 9 | セキュリティlogとモニタリングの失敗 | 監査可能なイベントログが記録できない為、Appが脆弱になる |
| 10 | サーバーサイド・リクエスト・フォー ジェリ | Appに細工したリクエストを予期しない場所に送信できる |
このようなことが起こる原因の1つは、アプリの開発などにあたり数百あるいは数千ものサードパーティーコンポーネントやオープンソースコンポーネントが組み込まれているからです。このコンポーネントが脅威や脆弱性を生むため、信頼のおける最新のソフトウェアを整備することで、これらへの対策をとることが重要です。
某小売業アプリ
セキュリティ検証結果
| No | 脅威 | 結果 |
|---|---|---|
| 1 | リパッケージ攻撃 (偽アプリ攻撃、悪意ある攻撃) | 脆弱 |
| 2 | エミュレータ攻撃 (ソースコードとビジネスロジックの露出) | 脆弱 |
| 3 | キーボード攻撃 (キーロガー攻撃-情報漏えい) | 脆弱 |
| 4 | 画面読み上げソフトの攻撃 (情報漏えい) | 脆弱 |
| 5 | ユーザースクリーンショット攻撃 (情報漏えい) | 脆弱 |
| 6 | タスクスクリーンショット攻撃 (情報漏えい) | 脆弱 |
| 7 | デバッガ攻撃 (情報漏えい) | 脆弱 |
| 8 | ルーティングアタック (情報漏えい、悪意ある攻撃) | 脆弱 |
| 9 | マンインサアプリのハイジャック/コードインジェクション攻撃 (情報漏えい、悪意ある攻撃) | 脆弱 |
| 10 | ストラッドホッグ(タスクハイジャック)攻撃 (情報漏えい) | 脆弱 |
| 11 | コード難読化攻撃 (ソースコードとビジネスロジックの露出) | 非脆弱 |
某金融機関アプリ
セキュリティ検証結果
| No | 脅威 | 結果 |
|---|---|---|
| 1 | リパッケージ攻撃 (色アプリ攻撃、悪意ある攻撃) | 非脆弱 |
| 2 | エミュレータ攻撃 (ソースコードとビジネスロジックの露出) | 非脆弱 |
| 3 | キーボード攻撃 (キーロガー攻撃-情報漏えい) | 脆弱 |
| 4 | 画面読み上げソフトの攻撃 (情報漏えい) | 脆弱 |
| 5 | ユーザースクリーンショット攻撃 (情報漏えい) | 脆弱 |
| 6 | タスクスクリーンショット攻撃 (情報漏えい) | 脆弱 |
| 7 | デバッガ攻撃 (情報漏えい) | 脆弱 |
| 8 | ルーティングアタック (情報漏えい、悪意ある攻撃) | 脆弱 |
| 9 | マンインサアプリのハイジャック/コードインジェクション攻撃 (情報漏えい、悪意ある攻撃) | 脆弱 |
| 10 | ストラッドホッグ(タスクハイジャック)攻撃 (情報漏えい) | 脆弱 |
| 11 | コード難読化攻撃 (ソースコードとビジネスロジックの露出) | 非脆弱 |
YESsafeは、悪意のあるインジェクションやクラック、その他の外部違反からアプリを保護し、またモバイルアプリのリスクや脆弱性を特定してエンドユーザーデバイスなどをアクティブに監視します。
YESsafe
-
認証、承認、トランザクション署名のためのモバイルOTPとPKIデジタル証明書のオールインワントークンです。
-
悪意のあるインジェクション、クラック、海賊版、その他の外部違反からAndroidアプリを保護します。
-
モバイルアプリのリスクや脆弱性を特定し、幅広いデータストリーム、ネットワーク、エンドユーザーデバイスをアクティブに監視します。
- ユーザー保護
- アプリ保護
- データ保護
- デバイス&環境保護
アプリに対する不正な攻撃を効果的に検出して防止することにより、高度なマルウェアの真の脅威に対して先回りし、管理するソリューションが必要です。
YESsafeは、モバイル アプリの整合性を確保して機能を向上させると同時に、摩擦のないユーザー体験を維持することができます
