Androidアプリの脆弱性の学習・点検ツール AnCoLe：ツール概要

| トップ 

利用者は、IPAウェブサイトから「AnCoLe」をダウンロードし、自身のPCでAndroidアプリの脆弱性学習・点検を進めることができます。「AnCoLe」では、「学習」と「点検」の2つの機能を提供しています。
「学習」機能では、学習用アプリを用いて7テーマごとに、対策方法を学習できます。
「点検」機能では、利用者が作成したアプリに対し、脆弱性や問題点の有無を点検できます。

学習用アプリ（攻撃アプリおよびサンプルアプリ）を用いて、脆弱性の被害体験と対策方法を以下の流れで学習できます。
（1）脆弱性の被害体験：攻撃アプリを使い、脆弱性のあるサンプルアプリに攻撃を試行し、被害を体験します。
（2）対策の学習：脆弱性の原因や対策方法を学習します。
（3）サンプルアプリの修正：サンプルアプリのソースコードの原因箇所を修正します。
（4）脆弱性の対策体験：攻撃アプリを使い、修正したサンプルアプリに攻撃を試行し、対策されていることを確認します。

学習テーマ（7テーマ）・シナリオ（11シナリオ）一覧

• テーマ1.ファイルのアクセス制限

1.	内部ストレージのアクセス制限不備
2.	SDカードのファイルアクセス制限の理解不足
3.	Preferenceファイルのアクセス制限不備

• テーマ2.コンポーネントアクセス制限不備

4.	非公開コンポーネントのアクセス制限不備
5.	公開コンポーネントのアクセス制限不備
6.	CotentProviderのアクセス制限不備

• テーマ3.暗黙的Intentの不適切な使用

7.	BroadcastしたIntent情報の漏えい

• テーマ4.不適切なログ出力

8.	重要情報の想定外のログ出力

• テーマ5.WebViewの不適切な使用

9.	JavascriptInterfaceの理解不足

• テーマ6.SSL通信の実装不備

10.	セキュリティ例外の無視

• テーマ7.不必要な権限の取得

11.	マルウェアと誤解される可能性のあるPermissionの使用

点検機能では、実際に利用者が開発したアプリに問題が無いかを以下の流れで点検できます。
（1）点検：開発中のアプリを読み込み、脆弱性や問題点の有無を点検します。
（2）結果の確認：表示される点検結果から問題となる箇所のソースコードを把握します。
（3）-1.再学習[学習機能との連携]：点検の結果、問題があった場合には、学習機能を使用して対策方法を学習します。
（3）-2.終了：点検の結果、問題がなければ終了します。

タオソフトウェア株式会社