Hello there, ('ω')ノ
✅ よくある“社内アプリ診断”の落とし穴
| よくある誤解 | 実際には… |
|---|---|
| 社内ネットワークだから安全 | 社内でもWi-Fi盗聴や端末紛失のリスクはある |
| MDMで管理されてるから平気 | MDM管理でもアプリ側の脆弱性は別問題 |
| 端末がルート化されてないから大丈夫 | 攻撃者はそれでもアプリ内部を調査できる |
✅ 診断時に意識すべき社内アプリの特徴
🔐 機密情報を扱っている可能性が高い
→ 勤怠、給与、社内文書、顧客情報など、「社内アプリこそ情報の宝庫」
📶 ネットワークはVPNや閉域網
→ パケットキャプチャがしづらい反面、通信の安全性は診断で確認しづらいこともある
📱 特定端末・環境でしか動かない
→ 診断の準備(端末貸与・テストアカウント発行)に手間がかかることも
✅ 社内アプリ診断でチェックすべき追加ポイント
| 観点 | チェック内容 |
|---|---|
| 認証・認可 | 共通ID/PWや社内SAML連携が適切に保護されているか |
| キャッシュ・保存情報 | 社内情報(会議資料など)が外部ストレージに保存されていないか |
| ログ出力 | ログにパスワードや認証トークンが出ていないか(開発中の癖で出しっぱなしのケース多し) |
| デバイス依存処理 | 特定の端末に依存してクラッシュやセキュリティバイパスが起きないか |
| 更新方法 | 自動アップデートできず、古い脆弱バージョンが放置されていないか |
✅ 実際の診断シーンでの注意点
🧪 テストアカウントの事前準備
- 社内SaaS連携やLDAP認証がある場合、専用の診断用アカウントを用意してもらう必要あり
- MDM制限がある端末では、FridaやBurpが使えないこともあるため要相談
🔍 通信内容がVPN経由の場合
- 通常のWi-Fiで通信を傍受できない
- VPNクライアントを診断用端末に入れる or オフラインモード診断を検討
📦 配布形態が特殊な場合(MDM/ファイル共有など)
- Playストア経由ではないため、APK取得方法や証明書の取り扱いに注意
✅ 診断時によく見つかる社内アプリの脆弱性例
| 脆弱性 | よくある原因 |
|---|---|
| allowBackup=true | 初期設定のままビルドされている |
| Debuggable=true | 開発中にONのまま配布されている |
| ログ出力に社内情報 | テスト用ログがそのまま残っている |
| HTTP通信のまま | VPN前提で暗号化をしていない |
| 認証バイパス | テスト用裏口(debug/debug123)を残している |
✅ まとめ
- 社内アプリだからといって安全とは限らない
- MDMやVPNがあっても、アプリ内部の脆弱性は個別に診断すべき
- APKの取得、端末制限、テストアカウントの準備など、事前調整が重要
- 情報の取り扱いやログ出力など、“現場あるある”のミスを重点的にチェックする
📝 おまけ:社内アプリ診断前のチェックリスト(抜粋)
| 項目 | 確認 |
|---|---|
| APKの取得方法は決まっているか | ✅ |
| テストアカウントは発行済か | ✅ |
| VPNまたはWi-Fi通信の確認方法は? | ✅ |
| MDM制限の影響は?Frida/ADB利用可? | ✅ |
| 使用中ライブラリにCVEはないか | ✅ |
Best regards, (^^ゞ
