Hello there, ('ω')ノ
✅ 研修のターゲット別:目的とゴールの整理
| ターゲット | 目的 | ゴール |
|---|---|---|
| 初学者(非エンジニア含む) | セキュリティ意識の醸成 | アプリの構造・権限・脆弱性の概念がわかる |
| 開発者 | 安全な実装・脆弱性の理解 | 自分のコードでよくあるミスを回避できる |
| 診断担当者(社内SOC/セキュリティチーム) | 実務診断スキルの習得 | MobSF, Frida, Burpなどのツールが扱える |
✅ 研修設計:3ステップ構成で進める
ステップ1:座学(1時間〜)
- Androidアプリの構造とセキュリティの基礎
- よくある脆弱性パターン(OWASP Mobile Top 10)
- 会社内で起こりうるリスク事例
📄 教材例:
- スライド「Androidアプリ診断入門」
- クイズ形式のセキュリティチェック問題
- 漫画/イラスト付きでわかる「脆弱性のしくみ」
ステップ2:ハンズオン演習(2〜4時間)
- テスト用APKを使って、実機で診断ツールを操作する
- 実際に脆弱性を見つけ、報告書を作成してみる
🛠 演習環境例:
- Androidエミュレータまたは実機(Pixel / Nexusなど)
- 用意された“わざと脆弱性がある模擬アプリ”
- MobSF / Frida / Burp Suite を組み合わせた演習
🧪 演習テーマ例:
| 演習No | タイトル | 内容 |
|---|---|---|
| ① | allowBackupの診断 | データ抽出を確認、対策提案まで行う |
| ② | Exported Activityの誤設定 | Drozerで外部から呼び出してみる |
| ③ | HTTPS通信の盗聴 | Burpで通信内容を可視化する |
| ④ | Fridaによる値の改ざん | ランタイムで挙動を変更してみる |
| ⑤ | MobSFでの静的解析 | APKファイルから脆弱性スキャンを体験 |
ステップ3:報告書作成とふりかえり(1時間)
- 実際の脆弱性報告書をフォーマットに沿って作成
- 他メンバーと結果を共有し、攻撃と対策の観点をディスカッション
📘 資料例:
- 報告書テンプレート(Word/Google Docs)
- 脆弱性再現ログ付きの回答例
- 修正コードの参考リンク集
✅ 社内研修用の教材を準備するコツ
💡 コツ1:実務に近いアプリを用意する
- 実際に社内で使われているアプリに似せたモックアプリ
- 「人事評価アプリ」「経費申請アプリ」「社内チャットアプリ」など
💡 コツ2:技術的ハードルを分ける
- 初級:MobSFとADB操作だけで完結する演習
- 中級:DrozerやFridaによる診断
- 上級:通信傍受・コード改ざん・証明書ピンニング解除など
💡 コツ3:教材は繰り返し使える形で作る
- 社内WikiやNotionで管理し、毎回ゼロから作らない
- バージョンごとの変更点はドキュメントで管理
✅ 無料で使える教材・アプリ例(社内研修向け)
| 名称 | 内容 |
|---|---|
| InsecureShop / DIVA | わざと脆弱性のあるAPKファイル(学習用) |
| OWASP Mobile Testing Guide | 教材として使える公式ガイド |
| MobSFドキュメント(GitHub) | 静的・動的解析の実践方法が豊富 |
✅ まとめ
- 社内研修は“実機での体験”と“報告書作成”の両立がポイント
- 受講者のレベルに応じて内容を段階的に設計する
- MobSFやFridaなどの無料ツールを活用しながら、実務に直結するスキルを育てる
- 教材・演習は再利用しやすいテンプレートで内製化しておくと、継続的に回せる
Best regards, (^^ゞ
