お問い合わせ
閉じる
SEARCH

検索

閉じる

企業や組織のセキュリティ事故発生時はこちら

緊急対応窓口:サイバー救急センター®

ご相談は予約不要、24時間対応

電話で相談する
0120-362-119
メールで相談する
サイバー救急センター®のメールアドレス
自分で調べる
「FalconNest」について
  1. 調査・診断・コンサルティング

ペネトレーションテスト

アプリケーションペネトレーションテスト

Inspection & Consulting

オンラインサービスやアプリケーションを「悪意のある攻撃者の目線」で実際に攻撃し「悪意のある攻撃者から守る」ための改善策を提案

ECサイトやポイント付与アプリなど、個人情報やクレジット情報などの機密情報を扱うオンラインサービスが増加しています。そんなオンラインサービスのアプリケーション(Webアプリ、スマホアプリ、クライアントアプリ)に対して、ホワイトボックス形式でのソースコード診断と、アプリへのリクエストの改ざんなどの疑似的な「悪意のある攻撃」を組み合わせ、不正ができないかをフルカスタムで調査します。

目次
  1. サービスの強み
  2. オンラインサービスの信頼性を向上し、ユーザー離れを防止
  3. アプリケーションペネトレーションテストの流れ
  4. 他の検査や診断手法との比較
  5. 実施対象サービスの例
  6. アプリケーションペネトレーションテストが選ばれる理由
  7. アプリケーションペネトレーションテスト活用例
  8. 報告書サンプル
  9. 価格
ホワイトペーパー『見落とされがちな脆弱性「アプリケーションロジックの不備」の事例と対策方法』ダウンロード
LAC Virtual EXPO

サービスの強み

ラックのセキュリティエンジニアがソースコードとドキュメントを熟読する
ホワイトボックステストによって徹底調査

アプリケーション(以下、アプリ)やAPI、関連するシステム(サーバー、AWSやAzureなどのクラウドサービスの設定など)のソースコードとドキュメントを調査するホワイトボックステストと、悪意のある攻撃者視点での脅威検証を組み合わせたペネトレーションテストです。

ホワイトボックステストと攻撃者視点での検証を組み合わせることで、SAST(静的アプリケーションセキュリティテスト)によるソースコード診断と、DAST(動的アプリケーションセキュリティテスト)によるWebアプリケーション診断などの脆弱性診断と両方のメリットを併せ持つことが特長です。(ホワイトボックステストのみの実施などのカスタマイズも可能です)

アプリケーションに潜在するセキュリティ上の問題点について、徹底的に洗い出したいなど、下記のような課題をお持ちのお客様におすすめです。

  • オンラインサービスで特定の攻撃行為が実現可能か調査したい​
    (オンラインサービスの停止、機密情報や個人情報の窃取、認証情報の詐称・なりすましなど)​
  • ソースコード内に検査不備がないか(サーバー側の適切な検査の実装が行われているか)第三者に見てほしい
  • AWSやAzureで構築したシステムにセキュリティの観点でリスクがないか​(設定不備やソースコードに脆弱性がないか)検証してほしい

ゲームの脆弱性検出に特化したサービスをお探しの方は、「チート対策ペネトレーションテスト」がおすすめです。​ご興味のある方はこちらからご覧ください。

チート対策ペネトレーションテスト
の詳細をみる

オンラインサービスの信頼性を向上し、ユーザー離れを防止

  1. 信頼性の向上
    不正を防止し、セキュリティを高めることでオンラインサービスの信頼性を向上します。
  2. ユーザー離れを抑止
    不正対処のための長期メンテナンスやサービス停止などの期間にユーザーが離れてしまうなどのリスクを防ぎます。
  3. セキュアコーディングの推進と安定したサービス運営
    診断の中で、ラックから改善方法を提案することで、より安全な開発、セキュアコーディングとサービス運営の安定化を実現します。

アプリケーションペネトレーションテストの流れ

セキュリティ専門の担当チームが、事前打ち合わせから報告会の開催まで全てのフェーズを担当します。

  1. 事前打ち合わせ
    診断を実施する背景とシステム構成やボリューム感などについて詳しく打ち合わせし、診断の方向性を確認します。

    ※ 必要に応じて秘密保持契約(NDA)を締結します。

    事前打ち合わせ
  2. 動作確認
    ソースコード調査
    「悪意のある攻撃者の目線」にて実際に動作確認し、攻撃方法を想定します。また、ソースコードを詳細に確認することで、動作確認時に想定された攻撃の実現性を探ります。
    動作確認・ソースコード調査
  3. 実現性検証
    動作確認及び調査結果を基に、想定され得るあらゆる「悪意のある攻撃者の行為」に対する実施可否を検証します。

    ※ STEP2とSTEP3を反復し、検証します。

    実現性検証
  4. 攻撃影響度判定
    「悪意のある攻撃者の行為」を対象アプリの性質に応じて、個別にその攻撃影響度を判定します。
    攻撃影響度判定
  5. 診断報告書作成
    攻撃者目線での対象アプリのセキュリティ総合評価、影響度の詳細判定及びソースコードレベルでの問題点に関する指摘を報告書の形式で詳細に取りまとめます。(必要に応じてコラボレーションツールなどでリアルタイムに報告することも可能です)
    診断報告書作成
  6. 報告会開催
    上記報告書を基に報告します。
    報告会開催

※ 1~6までの流れは、およそ2カ月単位での参考スケジュールです。

他の検査や診断手法との比較

検査手法 アプリケーション
ペネトレーション
テスト		 一般的な
脆弱性診断		 一般的な
ソースコード
診断
アプローチ ホワイト
ボックス		 ブラック
ボックス		 ホワイト
ボックス
問題箇所の
特定		 ×
現象の
確認		 ×
検出できる
脆弱性
の種類		 広範囲の種類の脆弱性 限定的な種類の脆弱性
(主に一般に知られている脆弱性)		 広範囲の種類の脆弱性

一般的な脆弱性診断との比較

アプリケーションに対するセキュリティテストで一般的なのは「Webアプリケーション脆弱性診断」です。Webアプリケーション診断は、あらかじめ定められた項目に基づき、診断ツールや手動診断などの手段でシグネチャを送信していくことで、脆弱性の有無を網羅的に調査します。

アプリケーションペネトレーションテストは、Webアプリケーション脆弱性診断とは異なるアプローチで調査を行います。アプローチの特徴は大きく2点あります。

1. ホワイトボックステスト(ソースコード診断)のアプローチ

アプリケーションペネトレーションテストは、ソースコード診断によりシステムの内部構造を把握した上で実施する「ホワイトボックステスト」を実施します。ホワイトボックステストは、お客様から提供いただいた対象アプリケーションのソースコードやドキュメントを基に、システムの内部的な情報を詳細に確認します。より効率的で精度の高い調査が可能になります。

2. ホワイトボックステスト(ソースコード診断)と攻撃者視点を組み合わせた検証

アプリケーションペネトレーションテストでは、ソースコードやドキュメントの調査から検出したセキュリティ上の問題点について、「悪意のある攻撃者の目線」で攻撃を実施することで、その問題点が実際に悪用可能なものかどうかを検証します。

Webアプリケーション脆弱性診断とアプリケーションペネトレーションテストの比較​
Webアプリケーション脆弱性診断とアプリケーションペネトレーションテストの比較​

実施対象サービスの例

オンラインサービスの例

ECサイト

ECサイト
予約・口コミサイト

予約・口コミサイト
ポイント付与アプリ

ポイント付与アプリ
オンラインゲーム

オンラインゲーム
Web会議システム

Web会議システム

その他
各種クライアント、
サーバーシステム
など

各種アプリケーションの例

  • パソコン用クライアントアプリ
  • スマートフォンアプリ
  • デバイス組み込みアプリ(車載器など)

アプリケーションペネトレーションテストが選ばれる理由

ブラックボックステストだけでは見つけにくい機能についてもテストが可能

特定タイミングでのみ動作する機能や、長期間未使用で解禁される機能など、通常のテストでは気づきにくい部分も、ホワイトボックステスト(ソースコード診断)なら全体を調査し、条件下での挙動やリスクを把握できます。問題箇所をピンポイントで指摘し、具体的な改善策を提案します。

例1:ECサイトで、特定のフラグがONになっている場合に、本来割引対象ではない商品価格が自動で割引されてしまうケース

ECサイトで、特定のフラグがONになっている場合に、本来割引対象ではない商品価格が自動で割引されてしまうケース

例2:ECサイトで、購入画面のUI上では購入できない商品でも、サーバー側の注文APIに直接リクエストを送ると、サーバーサイドの検証が不十分で販売対象外の商品を購入できてしまうケース

ECサイトで、購入画面のUI上では購入できない商品でも、サーバー側の注文APIに直接リクエストを送ると、サーバーサイドの検証が不十分で販売対象外の商品を購入できてしまうケース

アプリケーションロジックの不備による脆弱性も検出・防止

設計や仕様、ビジネスロジックの問題点を悪用されることで発生する脆弱性は、技術的な脆弱性(SQLインジェクション、クロスサイトスクリプティング(XSS)など)と異なり、自動ツールでは発見しにくいため、手動調査が必要です。

アプリケーションロジックの不備から生じる脆弱性 技術的な脆弱性
原因 ・設計の不備
・仕様の不備		 ・コーディングの不備
・設定の不備
・ポイントの不正発行、利用
ポイントの不正発行、利用
・他ユーザーの情報の閲覧、操作
他ユーザーの情報の閲覧、操作
 ・SQLインジェクション
・XSS
検出方法 攻撃者視点での手動調査が必要 SAST(静的アプリケーションセキュリティテスト)やDAST(動的アプリケーションセキュリティテスト)といったツールで検出しやすい
対策方法 個別のアプリケーションの仕様に依存する アプリケーション全般に共通するケースが多い
脆弱性の比較

攻撃者視点での手動テストにより、ツールでは発見困難な脆弱性も的確に検出し、実際に悪用可能か検証します。アプリ固有の仕様に起因するリスク対策に効果的です。

OS・言語不問、フルカスタムな検証内容

Windows、macOS、Linux系OSなど、OSを問わずあらゆる言語、プラットフォームの調査が可能です。HTTP/HTTPS以外のプロトコルの調査実績もあります。また、アプリの特性に合わせた検証内容を実施いたしますので、より効果の高さを実感いただけるサービスとなっています。

ご希望に合わせて、ブラックボックステストやグレーボックステストによる診断も可能です。ホワイトボックステストでソースコードを確認した際は、コード上で問題がある箇所と改善策を記載します。これによって脆弱性を確実に修正することができます。

アプリケーションペネトレーションテスト活用例

クライアントアプリ調査

 対象 
ポイント付与アプリ
 懸念されるリスク 
不正ログイン、管理者権限の乗っ取り
 結果 
会員向けネイティブアプリに対して、端末に保存されたセッションIDやクッキーを奪取し、不正ログインや権限乗っ取りの可否を検証。セッション管理強化策を提案し、認証基盤の安全性向上に貢献。
会員向けネイティブアプリに対して、端末に保存されたセッションIDやクッキーを奪取し、不正ログインや権限乗っ取りを試みる攻撃例

サーバーアプリ調査

 対象 
車載器組み込みアプリ
 懸念されるリスク 
情報漏えい、不正制御
 結果 
独自プロトコルを用いるサーバーで、車載器に組み込まれているアプリ経由の通信を傍受・改ざんし、情報漏えいや不正制御のリスクを検証。安全な通信設計やアクセス制御の改善策を提案し、情報漏えいリスクを大幅に低減。
独自プロトコルを用いるサーバーで、車載器に組み込まれているアプリ経由の通信を傍受・改ざんし、情報漏えいや不正制御を試みる攻撃例
 対象 
予約・口コミサイト
 懸念されるリスク 
情報漏えい、不正制御
 結果 
Web APIサーバーを対象にパラメーター改ざんの可否を調査。入力検証・認可設計の強化に貢献。
Web APIサーバーを対象にパラメーター改ざんwをする攻撃例

API調査

 対象 
ECサイト
 懸念されるリスク 
情報漏えい、改ざん
 結果 
APIシステムで認証情報の詐称が可能かを調査。パスワードやトークン、セッションID、APIキーなどを診断し、偽装・改ざんによる不正認証のリスクを検証。データ窃取や改ざんの未然防止に貢献。
APIシステムで認証情報の詐称を試みる攻撃例

報告書サンプル

ラックだからこそできるソースコードレベルでの指摘を含めた具体的な改善報告書を納品します。

ソースコードレベルでの指摘と提案
攻撃者目線による総合評価と
攻撃影響度の判定
攻撃者目線による総合評価 攻撃影響度の判定
ソースコードレベルでの指摘と改善策を提案
攻撃者目線による総合評価
攻撃影響度の判定
ソースコードレベルでの指摘と改善策を提案

価格

対象アプリの概要やソースコードの規模(API数やソースコードのStep数)などヒアリングを実施後、個別にお見積もりします。お気軽に問い合わせください。

関連サービス
ラックのペネトレーションテストについて
チート対策ペネトレーションテスト
関連記事
ソースコード診断から一歩踏み込んだ「アプリケーションペネトレーションテスト」とは?
「アプリケーションペネトレーションテスト」に関するお問い合わせ
お問い合わせ

page top