SECURE-AID Advancedのポイント
- スマホアプリではサーバとクライアントの両方で診断
- ウェブアプリでは不正な値の入力やリクエスト改ざんなどの擬似攻撃で確認
- IoT機器ではプロトコルやファームウェアをテスト、診断
SECURE-AID Advancedの製品解説
イエラエセキュリティの「SECURE-AID Advanced」は、ホワイトハッカーによる脆弱性手動診断サービス。世界最大のハッキングイベントで好成績を残したホワイトハッカーチームがセキュリティ対策を支援してくれる。アールワークスが提供する脆弱性診断サービス「SECURE-AID」の補強サービスという位置付け。
大きく「スマホアプリ診断」「ウェブアプリ診断」「IoT機器脆弱性診断」という3つを提供している。
「スマホアプリ診断」は、iOS/Androidアプリの両方でリバースエンジニアリングで静的に診断。スマホアプリは、サーバ上のAPIとスマホ内のクライアントアプリによって構成されているため、サーバ上のアプリとクライアントアプリの両方に対して脆弱性を診断する。
「ウェブアプリ診断」は、Java/PHP/Perl/Rubyなどで開発されたウェブアプリケーションを検査する。ウェブアプリケーションの設計や実装、ロジックなどに起因して、ネットワークを経由して不正侵入や情報漏えい、サービス不能に悪用される脆弱性がないか、実際にネットワークを経由して不正な値の入力やリクエスト改ざん、不正コードの挿入などの擬似攻撃で確認する。
「IoT機器脆弱性診断」では、機器固有のプロトコルに沿って異常なリクエストや認証のバイパスを試みるリクエストを送るなどをテストして、攻撃者の利益になるような挙動を起こさないか診断する「プロトコル診断」を実施する。
機器に対して異常な内容のリクエスト、異常な量のリクエストを送り、機器の動作に支障をきたさないか診断する「DoSテスト」、機器のファームウェアアップデートファイルや、そのアップデート過程を調べ、秘密のロジックや鍵が解析可能かどうか、不正なアップデート(例えば改造ファームウェア)を適用可能かどうか調べる「ファームウェアテスト」などが行われる。
| 用途と機能 | ホワイトハッカーによる脆弱性手動診断サービス |
|---|---|
| 特徴 | iOS/Androidアプリの両方でリバースエンジニアリングで静的に診断。ウェブアプリでは、実際にネットワークを経由して不正な値の入力やリクエスト改ざん、不正コードの挿入などの擬似攻撃で確認。IoT機器では、プロトコルやDoS、ファームウェアでテスト、診断 |
| 導入企業 | マンチェス、楽天、ビッグローブほか |
「Gmail」大好き人間が勧める徹底活用ハック2018年版(まとめ2) 
特集「『RPA』の誤解を解く」(まとめ) 
「Google Keep」大好き人間が勧める徹底活用ハック--2018年下半期版(2) 