セキュリティサービス
脆弱性診断
ホワイトハッカーによる多種多様な脆弱性診断
SynXでは診断対象の特性に応じた多彩な診断が可能です。自動診断ツールと手動診断を組み合わせたハイブリッド診断により、一般的な脆弱性診断では発見できない脆弱性まで検出できます。検出した脆弱性は、リスクレベルや攻撃難易度を算出し、対策とともにレポートにてご報告いたします。
ペネトレーションテスト
社用コンピュータやスマートフォン、サーバーなどの社内ネットワークに対し、攻撃者が侵入可能かどうかを事前に診断するサービスです。侵入シナリオに応じてソーシャルエンジニアリングやブルートフォース攻撃などの通常の脆弱性診断では実施しない攻撃手法を組み合わせて侵入を試みるため、別名で侵入テストとも呼ばれます。 実際に個人情報の流出や不正アクセスが発生した場合、企業に対する著しい経済被害をもたらすため、SynXが事前にテストすることで、早期発見・早期対応することが可能となります。
What we offer
サービス一覧
-
Webアプリケーション診断
-
ネットワーク診断
-
スマホアプリ診断
-
ゲームセキュリティ診断
-
スマートコントラクト診断
-
ソースコード診断
通常のブラックボックス診断(ソースコードを使わない診断)では見つけにくい潜在的な脆弱性まで網羅的に検査します。 -
IoT診断
Vulnerability Assessment
脆弱性診断対象
-
アプリケーション診断
•Webアプリケーション•GraphQLを使用したアプリケーション•LLMを利用したアプリケーション•モバイルアプリケーション(スマホアプリ)•デスクトップアプリケーション•ブラウザゲーム•PCゲーム(Windowsなど)•モバイルゲーム•スマートコントラクト(アプリ自体)
-
ネットワーク診断
•クラウドサービスのサーバー•オンプレミスのサーバー•社内サーバー•社内ネットワーク•IoTデバイス•ソースコード•スマートコントラクト(ソースコード)
Application diagnostics
アプリケーション診断
Vulnerability Assessment Methods
脆弱性診断の手法
ブラックボックス診断
弊社のホワイトハッカー(診断員)が、実際のハッカーと同じ条件下で、ソースコードなどの内部情報を閲覧せずに行う診断手法で、弊社が特に強みとしているアプローチです。ブラックボックス診断では、ハッカー本来の攻撃手法や攻撃における思考プロセスに基づいて脆弱性を洗い出すので、より本番環境に近い状況での診断が可能です。
ホワイトボックス診断
ソースコードを参照し、内部構造の情報に基づいて行う診断です。ホワイトボックス診断では、ブラックボックス診断では発見することが困難な脆弱性をソースコードレベルで発見することが可能です。
弊社のホワイトハッカー(診断員)が、実際のハッカーと同じ条件下で、ソースコードなどの内部情報を閲覧せずに行う診断手法で、弊社が特に強みとしているアプローチです。ブラックボックス診断では、ハッカー本来の攻撃手法や攻撃における思考プロセスに基づいて脆弱性を洗い出すので、より本番環境に近い状況での診断が可能です。
ホワイトボックス診断
ソースコードを参照し、内部構造の情報に基づいて行う診断です。ホワイトボックス診断では、ブラックボックス診断では発見することが困難な脆弱性をソースコードレベルで発見することが可能です。
Process for obtaining a quotation and required preparations before the assessment
◆画面遷移図
◆対象のサーバー数(※ネットワーク診断時)
※ブラックボックス診断とホワイトボックス診断両方のお見積りや、ご予算・納期に合わせたご提案も可能です。
お見積りの流れと診断までにご用意いただくもの
O1 | お見積りに必要なもの
◆API仕様書
◆エンドポイント(パス)リスト◆画面遷移図
◆対象のサーバー数(※ネットワーク診断時)
※ブラックボックス診断とホワイトボックス診断両方のお見積りや、ご予算・納期に合わせたご提案も可能です。
O2 | 診断までにご用意いただくもの
◆診断環境
(診断対象のWebサービスのURL、アクセス権の付与等)
◆サーバーのグローバルIP(※ネットワーク診断時)
Web・モバイルアプリケーション診断項目一覧
| |||||||||||||||||||||||||||||||||||||||||||||||
Network diagnostics
ネットワーク診断
Network Assessment (Platform Assessment)
ネットワーク診断
ネットワーク診断
Webサーバーやネットワーク機器等に潜む脆弱性を可視化します。
インターネットに公開されているサーバーや診断対象ネットワークに存在するネットワーク機器等に、既知の脆弱性や設定の不備等によるセキュリティ上の問題点がないか、ツールと手動診断(ブラックボックスの手法)にて診断します。
インターネットに公開されているサーバーや診断対象ネットワークに存在するネットワーク機器等に、既知の脆弱性や設定の不備等によるセキュリティ上の問題点がないか、ツールと手動診断(ブラックボックスの手法)にて診断します。
・クラウドサービスのサーバー
・オンプレミスのサーバー
・IoTデバイス
診断イメージ
Diagnostic Workflow
診断フロー
-
O1 | ネットワーク構成をヒアリング
ネットワークの全体像を理解し、診断対象範囲をご決定頂いた上で必要な工数を算出します。併せて、サーバー数を基にお見積りします。 -
O2 | ツールおよび手動での
ネットワーク診断ツールを使用し、既知の脆弱性の確認や設定不備、単純なセキュリティ対策の漏れ等を検出します。また、ツールでは検出できない脆弱性に関しては診断員の手動診断にて調査します。 -
O3 | 診断報告レポート提出
全体及び各脆弱性についてリスク評価し、発見した脆弱性の詳細をご報告します。また、それらによるリスクや推奨する対策方法についてもご説明します。 ※オプションプランとして、報告会や再診断についてもお客様のご要望に応じて対応します。
| 診断項目 | |
ホストのスキャン | |
ポートスキャン | TCP全ポートに対するポートスキャンにより、ホストの応答を確認します。 |
実行中のサービスの検出 | ・バナー情報などからソフトウェアバージョンを検知します。 ・バージョンに存在する脆弱性を調査します。 |
SSL/TLSの脆弱性 | |
SSL/TLSプロトコルの調査 | 検出された全てのソフトウェアにおいて、脆弱性が存在する SSL / TLS プロトコルをサポートしていないか診断します。 |
SSL/TLS暗号スイートの調査 | 検出された全てのソフトウェアにおいて、強度等に問題のある暗号化方式のサポートを確認します。 |
ネットワークサービスの脆弱性 | |
DNSに関する調査 | ・再帰問い合わせの可否を確認します。 ・DNSゾーン転送の可否を確認します。 |
メールサーバに関する調査 | ・メールサーバでの第三者中継の可否を確認します。 ・VRFYコマンド、EXPNコマンドの可否を確認します。 |
FTPに関する調査 | Anonymousユーザの許可・権限を確認します。 |
Windowsネットワークサービスに関する調査 | ・インターネット経由でのアクセス可否を確認します。 ・システム・ユーザ情報の取得可否を確認します。 ・バナー情報などからソフトウェアバージョンを検知します。 |
SNMPに関する調査 | ・SNMPによるシステム情報の取得可否を確認します。 ・デフォルトコミュニティ名(public,private)による接続可否を確認します。 |
SSHサーバに関する調査 | パスワード認証が許可されていないか確認します。 |
データベースサーバに関する調査 | インターネット経由でのアクセス可否を確認します。 |
認証に関わる脆弱性 | |
認証情報の平文での送信に関する調査 | 検出された機器、およびソフトウェアにおいて認証情報が平文で送信されていないかを確認します。 |
SSL/TLSの脆弱性 | |
Windowsの既知の脆弱性 | バージョン・得られたシステム情報より、未適用パッチを特定します。 |
その他各種OSの既知の脆弱性 | バージョン情報より既知の脆弱性を特定します。 |
悪意あるソフトウェア | |
バックドアの調査 | バックドアの可能性が高い、非標準ポートで動作しているサービスを確認します。 |
その他各種OSの既知の脆弱性 | P2Pソフトウェアが動作していないか確認します。 |
ネットワーク機器の脆弱性 | |
各種ネットワーク機器の既知の脆弱性 | 機器が特定できた場合、既知の脆弱性を確認します。 |
Game Security Assessments
ゲームセキュリティ診断
Process for obtaining a quotation and required preparations before the assessment
◆画面遷移図
◆対象のサーバー数(※ネットワーク診断時)
※ブラックボックス診断とホワイトボックス診断両方のお見積りや、ご予算・納期に合わせたご提案も可能です。
お見積りの流れと診断までにご用意いただくもの
O1 | お見積りに必要なもの
◆API仕様書
◆エンドポイント(パス)リスト◆画面遷移図
◆対象のサーバー数(※ネットワーク診断時)
※ブラックボックス診断とホワイトボックス診断両方のお見積りや、ご予算・納期に合わせたご提案も可能です。
O2 | 診断までにご用意いただくもの
◆診断環境
(診断対象のWebサービスのURL、アクセス権の付与等)
◆サーバーのグローバルIP(※ネットワーク診断時)
実績
対象概要 | 診断対象 | 診断手法 | 診断期間 |
メタバースアプリ | PCアプリケーション | ホワイトボックス診断 | 15営業日 |
RPG | Androidアプリ、iOSアプリ | ホワイトボックス診断 | 13営業日 |
NFTブラウザゲーム | Webアプリケーション | ホワイトボックス診断 | 13営業日 |
SNSアプリ | iOS, Android Webアプリケーション | ブラックボックス診断 | 10営業日 |
3DアニメーションRPG | Androidアプリ、iOSアプリ | ブラックボックス診断 | 10営業日 |
アクション | Androidアプリ、iOSアプリ | ブラックボックス診断 | 10営業日 |
NFTゲーム | Androidアプリ、iOSアプリ | ブラックボックス診断 | 10営業日 |
カジュアルパズルゲーム | Androidアプリ、iOSアプリ | ブラックボックス診断 | 7営業日 |
メタバースアプリ | PCアプリケーション | ブラックボックス診断 | 7営業日 |
カードバトル | Androidアプリ、iOSアプリ | ブラックボックス診断 | 10営業日 |
RPG※一部機能のみ診断 | Androidアプリ、iOSアプリ | ブラックボックス診断 | 5営業日 |
アプリゲーム | PCアプリケーション | ブラックボックス診断 | 5営業日 |
| 診断項目 | |
サーバーサイドの脆弱性 | クライアントサイドの脆弱性 |
ガチャの回数制限の回避 | 壁貫通移動 |
未所持アイテムの使用 | 戦闘での即時勝利 |
クエストの即時クリア | プレイヤーの無敵化 |
アカウントテイクオーバー | クエスト制限時間の不正操作 |
他ユーザーアイテムの強制削除 | 暗号化されたアセットの復号 |
ランクマッチの結果改ざん | 衣装の装着制限の回避 |
課金アイテムの無限増殖 | スキルの連続発動 |
他ユーザーの強制移動 | 獲得経験値の不正増加 |
アイテム購入における不正 | 通信データの傍受・改変 |
リバースエンジニアリング対策の強度に関する脆弱性 |
ファイル改竄検知やroot化検知などの回避 |
Bot対策の強度を検査 |
プラットフォームサイドの設定不備に関する脆弱性 |
バージョン管理ツールの設定不備 |
リバースプロキシの設定不備 |
| その他、ゲームの特性に応じた診断項目にて診断を実施します。 |
IoT Diagnosis
IoT診断
Vulnerability Assessment for IoT Devices
IoTデバイスへの脆弱性診断
ファームウェア解析(ソフトウェア解析)
ファームウェア(ソフトウェア)を逆アセンブリし、処理フローの解析などを行い、脆弱性の有無を評価します。
動的解析
通信経路のパケット傍受・改変やインタフェーステストを行い、サーバーサイドの脆弱性やBluetoothなどの通信規格の脆弱性を評価します。
Smart Contract Diagnostics
スマートコントラクト診断
Security Vulnerability Assessment for NFT Applications and Smart Contracts
NFTアプリ・スマートコントラクトへの脆弱性診断
スマートコントラクト自体の脆弱性
ブロックチェーン上(オンチェーン)で実行されるスマートコントラクトに対する脆弱性診断です。SWC Registryなどの基準に応じてソースコードから診断します。診断環境にて実際の疑似攻撃まで実行することも可能です。
アプリケーション診断
オフチェーンのアプリケーション本体に対する脆弱性診断です。各NFTゲームやNFTアプリケーションの特性に合わせて、アイテムの購入やガチャ、データベースの更新などの機能において、サーバーサイドの脆弱性が存在するかどうかを診断します。
Smart Contract Assessment Items
スマートコントラクト診断項目(一部抜粋)
弊社のスマートコントラクト脆弱性診断の項目は、スマートコントラクトの脆弱性やセキュリティ上の問題を分類・識別するためのリファレンスリストである、SWC Registry(Smart Contract Weakness Classification Registry)の基準に準拠しています。また、弊社の独自の観点・視点からも脆弱性診断を実施します。 参照:https://swcregistry.io/
•Re-Entrancy(リエントランシー)攻撃
スマートコントラクトが外部のスマートコントラクトを呼び出す際に、メモリの状態とプロセスを一時停止する仕様とfallback関数の呼び出しの仕組みを組み合わせた攻撃。Etherの無限引き出しに繋がる影響度の高い脆弱性。
•DoS with Failed Call
外部コントラクトを呼び出す際の例外処理が存在しないことなどに起因する、外部呼び出しのコントラクトを意図的に失敗させて無限ループを起こしDoS攻撃を引き起こす脆弱性。
•Integer Overflow and Underflow
バージョンの古いSolidityなどを使用することで発生する、数値のオーバーフローやアンダーフローに関する脆弱性。
•Self Destruct
selfdestructメソッドを実行することによって、コントラクトが所持している全Etherを送信し、requireやassertなどのGuard句を回避する脆弱性。
•Re-Entrancy(リエントランシー)攻撃
スマートコントラクトが外部のスマートコントラクトを呼び出す際に、メモリの状態とプロセスを一時停止する仕様とfallback関数の呼び出しの仕組みを組み合わせた攻撃。Etherの無限引き出しに繋がる影響度の高い脆弱性。
•DoS with Failed Call
外部コントラクトを呼び出す際の例外処理が存在しないことなどに起因する、外部呼び出しのコントラクトを意図的に失敗させて無限ループを起こしDoS攻撃を引き起こす脆弱性。
•Integer Overflow and Underflow
バージョンの古いSolidityなどを使用することで発生する、数値のオーバーフローやアンダーフローに関する脆弱性。
•Self Destruct
selfdestructメソッドを実行することによって、コントラクトが所持している全Etherを送信し、requireやassertなどのGuard句を回避する脆弱性。
Scope of Vulnerability Assessment