FFR、Android端末を出荷前に解析するセキュリティ分析サービス


 株式会社フォティーンフォティ株式会社(FFR)は9日、Android端末セキュリティ分析サービスの提供を開始した。

 Androidスマートフォンを出荷前に解析し、セキュリティ脆弱性の検査や著作権保護機構の堅牢性を分析するサービス。近年、Androidにおけるマルウェアや脆弱性攻撃、ユーザーによるroot化の問題が浮き彫りになっていることから、Android端末におけるセキュリティリスクを分析し、対策の助言を行うという。

 具体的には、仕様書やガイドラインなどの机上分析、各種コアコンポーネントの脆弱性検査、メディアファイルや文書ファイルを処理するアプリの脆弱性検査、ネットワークスタック処理系の脆弱性検査、root化検査などを実施する。

 詳細な検査内容は以下の通り。

  1. 基本検査
    • 仕様書、セキュリティガイドラインなどを机上分析
    • 設計上の脆弱性、改善点を洗い出し、対策を提言
    • 個別検査の結果を踏まえて報告書を作成
  2. 既知脆弱性に関する脅威分析
    • Linux/Bionic、WebKit、各種ライブラリなどの既知脆弱性を調査
    • 検証コードを用いた疑似攻撃を行い、攻撃可能性を分析
    • FFRが独自に発見した未公開脆弱性を検査
  3. メディアファイル処理系の脅威分析
    • 異常形式なメディアファイルによる攻撃可能性を調査
    • 標準的な画像ファイルに加えて独自形式の検査に対応
    • 各種プライヤー、ビューワなどの堅牢性を分析
  4. ネットワークスタック処理系の脅威分析
    • ネットワーク経由の異常パケットによる堅牢性を調査
    • TCP/IPスタック、各種サービスに対する能動検査
    • Webクライアントに対する受動的検査
    • DLNA、Bluetoothなどのサブシステムの検査
  5. root化検査、ソフトウェア解析
    • 既知・未知脆弱性によるroot化可能性を検査し対策を提言
    • DRMなどのライセンス保護の制限回避と対策の提言
    • システムアップデート機能などの脅威分析と対策の提言
    • そのほか独自開発セキュリティ機構の分析評価と対策の提言
  6. ドキュメントビューワ静的解析
    • Microsoft Office文書、PDFファイルなど文書ファイルによる脆弱性の攻撃可能性を分析
    • 必要に応じてコードの静的解析やデバッグ解析を実施
    • 独自形式については個別対応

 サービスメニューは、上記1~4に対応する「Basic」、1~5に対応する「Standard」、1~6に対応する「Advanced」の3種類。分析後、結果レポートを提出し報告会を実施。説明・対策の提言・Q&Aなどを行う。

 また、Androidアプリなどその他項目の検査・分析については個別対応。安全なAndroid端末開発に関するコンサルサービスやセキュリティ対策モジュールの開発などにも別途対応する。

関連情報