GMOサイバーセキュリティ byイエラエ株式会社は5月22日、ペネトレーションテストのオプションサービスとして「バックドア診断」の提供を開始すると発表した。「Webペネトレーションテスト」「IoTペネトレーションテスト」が対象となる。
「バックドア診断」では、同社がこれまでに培ったWebアプリケーションやIoT機器に対する攻撃者目線のソースコード解析やリバースエンジニアリング、動的解析等のノウハウを活用し、バックドアが設置されていたり悪意のあるコードが混入されたりしていないか、ホワイトハッカーが調査する。
バックドア診断でソースコードに基づいた調査を行う場合、下記の観点に沿って確認する。
1.設計・仕様書との乖離確認
・仕様書に存在しないAPI
仕様書に存在しないAPIが実装されているかを確認する
・仕様書に存在しないリクエストパラメータ
仕様書に存在しないリクエストパラメータが定義されているかを確認する
・仕様書に存在しない公開サービス
仕様書に存在しないサービスが外部に公開されていないかを確認、 ソースコード上からポートリッスンしている箇所を確認する
2.バックドアになり得る処理の有無
・OSコマンド実行や動的コード実行
OSコマンド実行や動的なコード実行を行っている箇所や前後に、不自然な処理内容が存在しないかを確認する
・アウトバウンド通信(通信処理)
通信を行っている箇所や前後に、不自然な処理内容が存在しないかを確認する
・設定値の動的な変更
セキュリティとして重要な値やアプリケーションの設定値等が動的に変更されている箇所の確認およびその設定値の内容を確認する
3.適切なデータ保護や管理方法の確認
・脆弱な暗号化やハッシュ
脆弱な暗号化アルゴリズムやハッシュアルゴリズムが使用されていないか、また、不適切な利用方法が存在しないかを確認する
・平文通信
平文通信の有無を確認して、中間者攻撃に対して脆弱でないかを確認する
・認証情報や個人情報等のログ出力
認証情報や個人情報等のログ出力が行われていないかを確認する
4.悪意ある文字列の埋め込みの確認
・意図しない認証情報の埋め込み
ソースコード内に認証情報がハードコードされているかを確認する
・アウトバウンド通信 (外部FQDNや外部IPアドレス)
外部通信されうる外部FQDNや外部IPアドレスがソースコード内に存在しないかを確認する
・難読化された文字列
Base64などのエンコードによって、難読化された文字列が存在しないかを確認する
5.脆弱性の有無の確認
・脆弱性の有無の確認
ソースコードを確認し、各観点での脆弱性の調査する
なお、「バックドア診断」の見積もりは、ソースコードの量や診断工数などの要件で変動するため、個別対応となる。
