AeyeScan が時限式のワンタイムパスワード認証サイトの診断に対応 | ScanNetSecurity
2026.07.13(月)

AeyeScan が時限式のワンタイムパスワード認証サイトの診断に対応

 株式会社エーアイセキュリティラボは5月25日、クラウド型Webアプリケーション脆弱性診断ツール「AeyeScan」がTOTP認証サイトの診断に対応したと発表した。

製品・サービス・業界動向 新製品・新サービス

 株式会社エーアイセキュリティラボは5月25日、クラウド型Webアプリケーション脆弱性診断ツール「AeyeScan」がTOTP認証サイトの診断に対応したと発表した。TOTP、Time-based One-Time Passwordとは、一定時間(一般に30~60秒)ごとに自動生成され、一度しか使えない「時限式のワンタイムパスワード」。

 「AeyeScan」は、AIとRPA(Robotic Process Automation)を活用したクラウド型Webアプリケーション脆弱性診断ツールで、診断結果は画面キャプチャ付きの画面遷移図で可視化するだけでなく、日本語レポートで提供される。

 TOTP認証を含む多要素認証(MFA)の導入が普及する一方で、多要素認証サイトを診断する際は一時的に認証を無効化したり、認証後のCookieをカスタムヘッダとして登録する必要がある等、専門知識や多くの工数が求められ、脆弱性診断の内製化における大きな障壁になっていた。

 「AeyeScan」では、従来よりリモートブラウザによる直感的な手動巡回機能を通じて、SSOやSAML認証など、自動巡回では対応が難しい認証環境にも対応してきたが、TOTP認証サイトについては、認証の一時解除や迂回が必要であることが課題となっていた。

 今回のアップデートで、TOTP認証サイトについては、シークレットキーを登録するだけで手動巡回の対象に含めることが可能となり、認証解除や複雑な事前設定を行うことなく、多要素認証を有効化した本番環境のまま診断を実施できる。

 同機能により、本番環境を含む多要素認証サイトの診断工数を大幅に削減でき、リリース前診断や改修時の再診断などの必要なタイミングで高頻度に実施しやすくなり、継続的な脆弱性対策を「内製化サイクル」の中に組み込めるようになる。

《ScanNetSecurity》

関連記事

特集

PageTop

アクセスランキング

  1. KDDI の ISP 事業者向けメールシステムに不正アクセス、ゼロデイ脆弱性を悪用

    KDDI の ISP 事業者向けメールシステムに不正アクセス、ゼロデイ脆弱性を悪用

  2. マネーフォワードが利用する「GitHub」への不正アクセス、流出した可能性が判明した個人データの詳細公表

    マネーフォワードが利用する「GitHub」への不正アクセス、流出した可能性が判明した個人データの詳細公表

  3. STNet のメールサービスを利用する 397,152 名分のアドレスとパスワードが漏えい ~ KDDI の ISP 事業者向けメールシステムへの不正アクセス

    STNet のメールサービスを利用する 397,152 名分のアドレスとパスワードが漏えい ~ KDDI の ISP 事業者向けメールシステムへの不正アクセス

  4. 東電子会社、ロゴ入り安全帽を紛失 ~「偽社員」による不審な訪問や詐欺に注意呼びかけ

    東電子会社、ロゴ入り安全帽を紛失 ~「偽社員」による不審な訪問や詐欺に注意呼びかけ

  5. 5,016,432 人分の BIGLOBE メールアドレスが漏えい ~ KDDI の ISP 事業者向けメールシステムへの不正アクセス

    5,016,432 人分の BIGLOBE メールアドレスが漏えい ~ KDDI の ISP 事業者向けメールシステムへの不正アクセス

ランキングをもっと見る
PageTop