「SECURE-AID Advanced」サービス概要
1. スマートフォンアプリの脆弱性診断
iOS/Androidアプリ両方でリバースエンジニアリングでの静的診断を実施。スマートフォンアプリは、サーバー上のAPIとスマートフォン内のクライアントアプリによって構成されているため、サーバー上のアプリとクライアントアプリの両方に対して脆弱性診断を行う。
・アプリ解析:データ共有機能のアクセス不備/アプリ連携機能のアクセス制御不備/WebViewの脆弱性有無/難読化の有無/ソースコードへの重要情報出力有無
・端末データの検査:端末内のデータの不備/端末内データ改ざんによる不正行為/パーミッションの不備/SDカードへの機密情報の出力/ログへの機密情報の出力
・APIサーバーへの通信内容の検査:不正通信の確認/サーバー環境の不備/セッション管理/エラー処理状況/通信路の問題
2. Webアプリの脆弱性診断
Java、PHP、Perl、Rubyなどで開発されたWebアプリケーションに対して検査を行う。Webアプリケーションの設計や実装、ロジック等に起因して、ネットワークを経由して不正侵入や情報漏洩、サービス不能に悪用することのできる脆弱性がないか、実際にネットワークを経由して不正な値の入力や、リクエスト改ざん、不正コードの挿入等の擬似攻撃を行い確認。
3. IoT機器の脆弱性診断
プロトコル診断、DoSテスト、ファームウェアテストなどを実施。
イエラエセキュリティは、スマートフォンアプリやWebサービスのセキュリティ診断業務に特化したホワイトハッカーで構成されたセキュリティ脆弱性診断企業。経済産業省主催のCTFチャレンジジャパンや、世界最大のハッキングイベント「DFECON CTF」で好成績を残したホワイトハッカーチームのメンバーが中心となり創業。高精度の診断技術を有するハッカーの診断能力 が認められ、大手企業やセキュリティベンダからセキュリティ診断業務を受けているという。
