Androidアプリ脆弱性診断ウェブサービス『Tao RiskFinder』リリース ～開発知識不要で利用可能～

タオソフトウェア株式会社(代表：谷口 岳)は、2013年4月16日よりAndroidアプリの脆弱性を診断する『Tao RiskFinder(タオ リスクファインダー)』をリリースします。 アンドロイドを搭載したスマートフォンが急速に普及する一方で、アンドロイドに精通した技術者は不足しています。経験の十分でない技術者が開発に関わることも多く、また、モバイルアプリケーションの開発は従来のアプリに比べ開発時間が短いため、「動くこと」だけに注力した開発が行われがちな現状があります。これらが原因となり、セキュリティホール(脆弱性)があったり、マルウェアと間違えられる可能性があったりするままリリースされているアプリが多く見られる状況になっています。 『Tao RiskFinder』は、アンドロイドアプリケーションの脆弱性を診断するウェブサービスです。 開発知識は不要で、アプリケーションファイルとブラウザを用意するだけですぐに診断結果を得ることができます。 タオソフトウェアは、アンドロイドの発表当初より、研究開発を行いながら技術を蓄積し、ブログや講演等による情報発信を通して開発者のセキュリティ意識の啓蒙につとめてきました。2012年1月には、開発者に向けたアンドロイドセキュリティに関する書籍「Android Security」を出版し、その後、JSSEC(一般社団法人日本スマートフォンセキュリティ協会)による「Androidアプリのセキュア設計・セキュアコーディングガイド」の執筆にも深く関わっています。 セキュリティに関する講演やコンサルテーションを行う中で、「セキュリティに関する技術情報を、開発現場から発注者まで全ての人間が把握するのは難しく、また今後のアンドロイドのバージョンアップで追加変更されていくセキュリティ事項に追従して行くのも大変である。アプリのセキュリティについて簡単に診断できる仕組みはないか」との声を多くいただきました。 そのようなリクエストに応え、また、高価なセキュリティ診断を自動化によって低価格で提供可能にする、ということを念頭に『Tao RiskFinder』を作成しました。 タオソフトウェアは、『Tao RiskFinder』がアンドロイドアプリのセキュリティ、品質の向上を実現し、安心、安全なスマートフォン社会づくりに貢献できるものと考えています。 【『Tao RiskFinder』について】 ■特徴 1.ブラウザのみで使用可能。事前のセットアップ、開発知識等は不要。 2.アプリケーションファイルだけで静的解析、診断実施。ソースコード不要。 3.ウェブサービスのため、常に最新のバージョンを利用可能。 4.脆弱性に加え、マルウェアと間違われやすい項目や品質に関する項目も検出。 5.総務省「スマートフォン　プライバシー　イニシアティブ」に準拠するための情報を出力。 ■検出項目(一部) 1.セキュリティ関する検出項目例 ・Activity、Service、Content Provider、Broadcast Receiver内の脆弱性 ・AndroidManifest.xml内の脆弱性 ・暗号化されていない通信経路、不要なサーバへのアクセス ・安全性の低い暗号化ロジック 2.マルウェアと間違われやすい検出項目例 ・グレーゾーンアプリに見えるパーミッションの組み合わせ ・危険なパーミッションの使用 ・広告ライブラリ、危険なライブラリ、グレーゾーンライブラリの使用 3.品質に関する検出項目例 ・AndroidManifest.xml内の不要項目 ・外部記憶装置への固定パスでのアクセス ・実行時エラーとなる可能性 ・アンドロイド推奨ルールからの逸脱 ■対応ブラウザ：Google Chrome、他 ■価格：利用ユーザ数、解析するアプリケーション数(無制限も含む)、契約期間、サポート条件等により応談 ■利用シーン ・アプリケーションを発注 ・アプリケーションを開発 ・MDM等社内での使用アプリの決定 ・アプリケーション紹介サイト ■詳細情報： http://www.taosoftware.co.jp/services/riskfinder/ 【タオソフトウェアについて】 社名　　　： タオソフトウェア株式会社 所在地　　： 東京都台東区東上野2-1-1 フリーアネックスビル8階 資本金　　： 10,000,000円 事業内容　： パッケージソフトの企画、開発、販売、受託開発 代表取締役： 谷口 岳 URL　　　 ： http://www.taosoftware.co.jp 沿革 2005年3月　　タオソフトウェア株式会社を杉並区荻窪に設立 2007年11月　 Android発表時より研究に着手 2010年5月　　Androidアプリケーション自動作製サービス「ドロクリ」開始 2011年9月　　台東区東上野に移転 2012年1月　　「Android Security 安全なアプリケーションを作成するために」を出版 2012年6月　　JSSEC発行の「Androidアプリのセキュア設計・セキュアコーディングガイド」の執筆に参加 2012年10月　 総務省の「スマートフォン　プライバシー　イニシアティブ」の発表を受け、「アンドロイドスマートフォンプライバシーガイドライン by タオソフトウェア」を公開 2013年04月　　ソースコード不要でAndroidアプリの脆弱性診断を行う『Tao RiskFinder』をリリース