GMOサイバーセキュリティ byイエラエ株式会社は12月9日、Web3サービスのセキュリティリスクを設計・実装段階で評価する「NFT・ブロックチェーン脆弱性診断」を同日から提供すると発表した。
Web3サービスで想定される脆弱性は、ブロックチェーン自体の設計・実装における脆弱性、ブロックチェーンに接続するシステム・アプリケーション等における脆弱性、Web3サービスの特性である資産管理の分散化・ユーザー移転に関する脆弱性の3タイプに分類できるが、「NFT・ブロックチェーン脆弱性診断」は、これら全てに対応可能な診断パッケージ。
Web3サービスの開発段階やアーキテクチャに応じた診断メニューを組み合わせることが可能で、攻撃者の目線を持つイエラエのセキュリティエンジニアが、セキュリティリスクの評価を行うとともに、開発者目線でのアドバイサリーを提供する。
提供可能なサービス内容の一例は下記の通り。診断費用についてはヒアリング後に見積りとなっている。
・アーキテクチャレビュー
ブロックチェーン上で実行されるスマートコントラクトの設計だけでなく、ブロックチェーン上には記録されないオフチェーン処理を含む、サービスのアーキテクチャ全体を監査し、セキュリティリスクを評価。
・スマートコントラクト・ソースコード診断
ブロックチェーン上で実行されるスマートコントラクトに脆弱性がないかをソースコードから診断。
・クラウド診断
Web3サービス内で利用するクラウドの設定・構成に起因した脆弱性を診断。
・モバイルアプリ診断
ブロックチェーンに接続するモバイルアプリのリバース エンジニアリングやソースコード解析を通じて、iOS/Androidアプリケーション上での脆弱性を診断。
・ゲームチートペネトレーションテスト(NFTゲーム/GameFi)
NFTゲーム/GameFiにおけるアイテム購入やガチャなどの課金サービス、ユーザデータベース更新機能等におい て、チート行為が可能となる脆弱性が存在しないかを、ゲームごとの特性に合わせて実施。
![米 CISA、サプライチェーン安全確保ガイダンス発表/Zoom における 3 つの脆弱性/APT41 の新たなサブグループ「Earth Longzhi」 ほか [Scan PREMIUM Monthly Executive Summary 2022年11月度] 画像](/imgs/p/VBQCg88_AM0-DSZSF4-0dQsJwAfOBQQDAgEA/39985.jpg)
