アプリケーションやサーバに対して
疑似的な攻撃を行い、リスクを洗い出します。
当社は主に手動診断を得意としています。
認証や権限、ビジネスロジックを中心として
仕様や技術スタックに応じて診断内容を設計します。
Webアプリケーション
Webアプリケーションに対して検査を行い、脆弱性を検出します。サーバサイドとフロントエンドの両面から検査を行います。
スマートフォンアプリケーション
iOS / Androidアプリケーションに対して検査を行い脆弱性を検出します。各プラットフォーム固有の検査やAPIの検査を行います。
プラットフォーム
サーバや社内ネットワーク内に接続されている端末に対して検査を行い脆弱性を検出します。ポートの開放状況やOS・ミドルウェアの検査を行います。
認可制御の不備
権限を越える不正な操作を確認します。画面上では呼び出すことができない機能を直接呼び出して実行できないか、権限にあたるパラメータを改ざんして上位権限の機能が実行できないかを確認します。
決済機能の不備
不正な決済の実行や決済フロー上の不備を確認します。アプリケーションで利用している決済方法に応じて決済の回避や一度しか利用できない決済用の情報の再利用・クーポン機能の悪用などを確認します。
例えば、クレジットカードによる決済ではカード情報やトークンの取り扱い、スマートフォンアプリにおけるアプリ内課金(IAB / IAP)の場合はレシートの不正利用を確認します。
アップロード機能の不備
ファイルのアップロード機能を起点とした問題を確認します。ファイルのアップロード機能は複雑になることが多いため、あらゆる攻撃の可能性を検討し診断を設計します。
例えば、ファイル名やファイルの内容に攻撃文字列を含めることでXSSやSQLインジェクション、Web Shellによる任意コード実行ができないか、アップロードしたファイルが不正に上書き・閲覧ができないかも確認します。S3やGCSのようなクラウドストレージをアップロード先として選択している場合はクラウドストレージ特有の権限の設定の不備により不正にファイルの上書きや閲覧ができないかを確認します。
アーキテクチャ固有の脆弱性
診断対象のアーキテクチャ特有の問題を確認します。例えば、スマートフォンのアプリケーションやGraphQLなど診断対象で採用されているアーキテクチャに合わせた診断を実施します。
スマートフォンのクライアントアプリケーション側にロジックが記述されている場合は、メモリ改ざんやアプリの改ざんによって脆弱性が発生する場合があります。また、カスタムスキーマなど、スマートフォンアプリケーション特有の仕組みによる脆弱性も確認します。
GraphQLの診断ではスキーマやクエリ、ミューテーションの情報から診断内容を設計します。必要に応じてリゾルバの解析も提案します。
1. お問い合わせ
お問い合わせフォームより診断希望の旨をご連絡ください。
回答いただける範囲で問題ありませんので診断対象やご希望の診断内容をお伝えください。
ヒアリング前にNDAの締結が必要な場合は併せてお伝えください。
2. ヒアリングとお見積り
診断対象とご希望する診断内容について伺い、
質疑応答を交えながら診断の方針を決定します。
診断内容の決定では診断対象に適切な診断方法の選択、診断範囲のアドバイスや診断を複数回に分割しての実施などお客様にとって効果的な診断を提案します。
3. 契約
お見積りにご納得いただけましたら電子契約にて契約を締結します。
診断日程は契約後に変更することも可能です。
4. 診断の準備
診断開始までに診断に必要な情報をご提供いただきます。
診断対象のアプリケーションやアカウント情報等の準備をお願いします。
5. 診断の実施
事前に合意した診断日程で診断を進めます。
診断中にリスクが大きいと想定される脆弱性を検出した場合は即座に報告します。
6. 報告書の作成と納品
診断結果をもとに優先して対応すべき脆弱性が分かるよう、リスクや再現方法などの脆弱性の説明を分かりやすくまとめて報告します。
アプリケーション全体に見られる傾向など特筆すべき点があれば報告に併せてお伝えします。
Q. 診断の強みはなんでしょうか?
当社の診断員は事業会社内での豊富な脆弱性診断経験があります。
事業の文脈を踏まえながら診断対象を深くまで診ることを得意としています。
Q. 初めての診断ですが、どのように進めれば良いでしょうか?
脆弱性診断が初めての方向けに、ヒアリングのタイミングで事業会社における脆弱性診断の進め方について解説することも可能です。
当社はお客様の目的達成のために診断をサポートいたします。
Q. 脆弱性診断は手動診断で行いますか?
診断のメインは手動診断です。ツールが効果的に利用できる部分でのみ手動診断の補助としてツールを活用します。