PROJECTS

診断件数

創業から今まで、セキュアな社会を実現するために、セキュリティ診断だけに全力を注いできました。

  • Webアプリ脆弱性診断

    1,235

  • ネットワーク診断

    985

  • スマホアプリ脆弱性診断

    420

  • IoTセキュリティ対策

    15

CASE

セキュリティ診断事例

Webアプリケーション

Webアプリケーション

大手ECサイト企業

ECサイトの脆弱性診断

診断背景

数百万規模のユーザー数を持つECサイトのリニューアルに際してセキュリティ診断の依頼をいただきました。
本診断を通して、リニューアル時の追加機能に個人情報を漏洩する可能性が高い脆弱性を発見、ECサービスにとって致命的な事故を未然に防ぐことができました。

サービス規模

約200画面

診断期間

約4週間

診断概要

実際にネットワークを経由して不正な値の入力や、リクエスト改ざん、不正コードの挿入等の擬似攻撃を行い確認します。

診断フロー

1. システム構成の調査と、脆弱性診断の対象範囲を確定

Webアプリケーションの診断対象範囲を明示頂いた後に、必要な工数のお見積を行います。

2. ツールおよび手動によるWebアプリケーションの脆弱性診断を実施

該当するWebアプリケーションに対し、ツールでの診断を行いつつ、攻撃者の観点でツールでは検出不可能な診断を手動で実施します。

3. Webアプリケーション診断の実施結果報告

対象システムのリスク評価、エグゼクティブサマリ及び検出されたWebアプリケーションの脆弱性について詳細をご報告します。

スマートフォンアプリ

スマートフォンアプリケーション

SNSサービス運営会社

SNSアプリの脆弱性診断

診断背景

iOSアプリの開発中に、急遽Android版の開発も決定し、自社では脆弱性チェックを行う時間が確保できないとのことで、ご依頼いただきました。
結果として「WebViewを通じたローカルファイルの漏えい」など、致命的な脆弱性を未然に防ぐことができました。

サービス規模

約50画面

診断期間

約1週間

診断概要

JSSECのセキュアコーディングガイドやOWASPMobileTop10に基づきセキュリティ診断を実施。リバースエンジニアリングによるアプリの挙動解析を行います。

診断フロー

1. スマホアプリのサービス内容の調査と脆弱性診断範囲の明確化

アプリサービスごとの特性を把握し、重点的に行わなければならない脆弱性診断箇所を特定いたします。

2. 完全手動によるスマホアプリのセキュリティ診断

完全な手作業で脆弱性診断を実施します。基本的なチェックから高度なリバースエンジニアリングまで対応しています。

3. 解析/診断実施結果報告

検知された脆弱性や全体としてのセキュリティ強度、危険性、今後の対策まで触れていきます。

Webサービス

Webアプリケーション

大手通信企業様

Webサイト

診断背景

販売契約Webサイトのリリースに際してセキュリティ診断の依頼。不正契約が可能となる脆弱性を発見し、リリース前に未然に防ぐ。

サービス規模

約150画面

診断期間

約3週間

iOSアプリ Androidアプリ

スマートフォンアプリ

大手ソーシャルゲームプロバイダー

ゲームアプリ

診断背景

チート被害に悩まされるヒットタイトルのチート診断の依頼。リバースエンジニアリングによる解析を行いメモリーパッチやバイナリパッチによるチートの要因を発見しチートを再現、要因の修正に繋げる。

サービス規模

ストア上位のゲームアプリ

診断期間

約3週間

ネットワーク

ネットワーク

大手コンサルティング企業様

ネットワーク

診断背景

社内ネットワークの更新および新機能の追加に際してセキュリティ診断の依頼。ペネトレーション診断を行い、安全にリリースすることに繋げる。

サービス規模

約100画面

診断期間

約3週間

自動車

自動車

自動車メーカー様

自動車のIVI、TCUに対する侵入テスト

診断背景

インターネットにでる部分からの侵入口(IVI/TCU)に対して、走曲止への影響を与えることができるか侵入テストを実施。

診断期間

約4週間

POC

POC

仮想通貨事業者様

POC(Proof of Concept = 概念実証)

診断背景

海外のセキュリティ対策ツールの導入の際に、サプライヤーのカタログスペックが本当に正しいかを、侵入テストを実施することで確認。

診断期間

5営業日

仮想通貨

仮想通貨

大手ゲーム会社様

ソースコード診断

診断背景

網羅性の確保に重点を置いてブラックボックス方式の診断と、合わせてソースコードのレベルから診断を実施。通常診断では発見できない遷移での脆弱性まで検知。

サービス規模

約10,000LOC

診断期間

約2週間

ネットワーク

ネットワーク

大手通信会社様

PCIDSS審査に係るネットワーク診断

診断背景

PCIDSS審査に係るセキュリティ診断の依頼。日本全国10拠点以上をオンサイトで診断。

サービス規模

約500IP

診断期間

約3週間

IoT機器

IoT機器

大手IoT企業様

IoT機器

診断背景

新規IoT機器リリースに際してセキュリティ診断の依頼。機器と制御システムの通信や機器自体の解析を行い、安全にリリースすることに繋げる。

サービス規模

世界初の新規製品

診断期間

約3週間

iOSアプリ Androidアプリ

スマートフォンアプリ

大手通信企業様

脆弱性診断用ツール

診断背景

アプリケーションがユーザーのプライバシーに違反した動作をしないかを検証するツールの開発依頼。アプリの通信をキャプチャし、ポリシー違反やトラッキングがないかを自動診断するツールを開発。

サービス規模

約120アプリ対象

診断期間

約1年

ネットワーク

ネットワーク

大手通信企業様

ネットワークのセキュリティ耐性テスト

診断背景

顧客企業で施したネットワークのセキュリティ耐性が、設計通り機能しているかを実際に攻撃してテスト。多くの対策不備を発見。

サービス規模

約50IP

診断期間

約2週間

AWARDS

受賞実績

イエラエセキュリティには、国内外のハッキングイベント・大会にて好成績を残したホワイトハッカーがメンバーとして参画。
診断技術をとことん追求したいという技術者肌のメンバーが揃っています。

  • 2018年

    世界1位

    DEFCON 26 Car Hacking Village

    暗号化車載通信ネットワークに関するCTF(Karamba Challenge)にて

  • 2017年

    世界4位

    Google CTF

    Googleが主催する組み込み機器の解析やWebサービス等のCTFにて

  • 2017年

    世界3位

    S4 CTF

    制御・工場系システム(OT系)のCTFにて

  • 2017年

    国内1位

    CAN Bus hack

    世界最大規模のセキュリティフォーラムのCODEBLUEにて

サイバートラスト株式会社
株式会社サミーネットワークス
株式会社サイバーエージェント
株式会社S&P
株式会社フォトシンス

CONTACT

お気軽にご相談ください

Webサービスやアプリにおけるセキュリティ上の問題点を解消し、収益の最大化を実現する相談役としてぜひお気軽にご連絡ください。
経験豊富なセキュリティエンジニアが診断を行います。