これまでに弊社で実施した診断により、報告された診断結果の一例です。
| 診断対象 | 診断結果の一例(概要) | 総合評価危険度 | |
|---|---|---|---|
| 金融事業者Webサービス | サービスページ | エラーメッセージの露出を確認 | D |
| 金融事業者Webサービス | Webサービスサーバーの外部ペネトレーションテスト | 識別されたドメイン内に未知のディレクトリがあることを確認 | D |
| 銀行アプリ | Android版 | 暗号化されていないDBの利用を確認 | B |
| 銀行アプリ | iOS版 | 外部通信からの攻撃に関するセキュリティの向上を推奨 | B |
| 銀行アプリ | Android版 | 送信データの暗号化を推奨 | B |
| 銀行アプリ | iOS版 | アプリにて利用しているWebViewに関するセキュリティの向上を推奨 | B |
| CMS | CMS診断 | 利用しているブラグインにて過去に脆弱性が発見されたことがあるため、最新版を常に適用することを推奨 | B |
| 学生向けWebサービス | サービスページ | 認証プロセスを迂回できることを確認 | D |
| 製薬会社アプリ | Android版 | OS異常の検知がされておらず、OS異常状態でも動作が可能 | E |
| 製薬会社アプリ | iOS版 | 操作中のスナップショットの画像を保存することが可能 | E |
| 製薬会社アプリ | 接続先API | 特定機能へのアクセス時に、エラーなどの失敗回数の制限が設定されていない | D |
| 銀行アプリ | Android版 | 正常なアプリのままアプリの動作を変更することが可能 | B |
| 銀行アプリ | iOS版 | 正常なアプリに攻撃者が意図した動作に改ざんした偽アプリを作成することが可能 | B |
| 金融事業者アプリ | Android版 | OS異常の検知がされておらず、OS異常状態でも動作が可能 | E |
| 金融事業者アプリ | iOS版 | Runtime操作に対する保護の不整備 | E |
| クレジットカード会社アプリ | Android版 | 正常なアプリのままアプリの動作を変更することが可能 | B |
| クレジットカード会社アプリ | iOS版 | 正常なアプリに攻撃者が意図した動作に改ざんした偽アプリを作成することが可能 | B |
| 決済事業者システム | 決済システムの内部ペネトレーションテスト(アプリケーション層) | 同一アカウントにより2重ログインが可能 | D |
| 決済事業者システム | 決済システムの内部ペネトレーションテスト(ネットワーク層) | 推奨されていないバージョンのプロトコルを利用 | E |
| 決済事業者システム | 決済システムの外部ペネトレーションテスト(アプリケーション層) | 攻撃者がクライアント側のシステムで任意のコマンドを実行が可能 | E |
| 決済事業者システム | 決済システムの外部ペネトレーションテスト(ネットワーク層) | 推奨されていない暗号化もサポート範囲となっている | D |
| 金融事業者Webサービス | サービスページ | ユーザまたは管理者のCookieやSession値などの有用な情報を奪取し、他の脆弱性と合わせて攻撃することが可能 | D |
| 金融事業者Webサービス | Webサービスサーバーの外部ペネトレーションテスト | 一部解放されているポートを確認 | B |
| 銀行内部向けシステム | Webサービスサーバーの外部ペネトレーションテスト | 一部解放されているポートを確認 | B |
| 銀行アプリ | Android版 | 正常アプリのままで開発者が意図していない導線を実行することが可能 | D |
| 銀行アプリ | iOS版 | スナップショットの制限がされておらず、重要情報イメージの奪取が可能 | B |
| 診断対象 | 診断結果の一例(概要) | 総合評価危険度 | |
|---|---|---|---|
| クレジットカード会社アプリ | Android版 | 正常なアプリのままアプリの動作を変更することが可能 | B |
| クレジットカード会社アプリ | iOS版 | 正常なアプリに攻撃者が意図した動作に改ざんした偽アプリを作成することが可能 | B |
| 金融事業者アプリ | iOS版 | OS異常の検知がされておらず、OS異常状態でも動作が可能 | E |
| 金融事業者アプリ | Web版 | セッションタイムアウトが未実装 | D |
| 金融事業者アプリ | iOS版 | 操作中のスナップショットの画像を保存することが可能 | B |
| 教育関連アプリ | Web版 | 不必要なメソッド使用の許可されており、悪用されるリスクがあることを確認 | D |
| 銀行アプリ | Android版 | OS異常の検知がされておらず、OS異常状態でも動作が可能 | E |
| 銀行アプリ | iOS版 | プログラムの重要な情報などがデバッグログに存在 | E |
| 銀行アプリ | 接続先API | 利用しているサーバのソフトウェアバージョンの露出 | D |
| クレジットカード会社アプリ | Android版 | プログラム中の特定の箇所に独自の処理を追加し、アプリの動作を変更することが可能 | B |
| クレジットカード会社アプリ | iOS版 | 外部からアプリを改ざんし、攻撃者が意図した動作を実行する偽アプリの作成が可能 | B |
| クレジットカード会社アプリ | 接続先API | デフォルトエラーメッセージの表示 | D |
| 銀行アプリ | Android版 | 意図しない導線にてアプリを利用することが可能 | D |
| 銀行アプリ | iOS版 | スナップショットの制限がされておらず、重要情報イメージの奪取が可能 | B |
| 金融事業者アプリ | 外部ペネトレーションテスト(ネットワーク層) | 推奨されている暗号化以外のものでも通信が可能 | D |
| 決済事業者システム | 決済システムの内部ペネトレーションテスト(アプリケーション層) | 同一アカウントにより2重ログインが可能 | D |
| 決済事業者システム | 決済システムの内部ペネトレーションテスト(ネットワーク層) | サポートされていないプログラミング言語を利用 | E |
| 決済事業者システム | 決済システムの外部ペネトレーションテスト(アプリケーション層) | CSVファイルとしてダウンロードされるデータを入力する際、適切なフィルタリングが無いため、攻撃コードを含んだCSVファイルの生成が可能 | D |
| 決済事業者システム | 決済システムの外部ペネトレーションテスト(ネットワーク層) | 仮想ホストの可能性があるホストが検出 | B |
| 診断対象 | 診断結果の一例(概要) | 総合評価危険度 | |
|---|---|---|---|
| クレジットカード会社アプリ | Android版 | OS権限奪取検知の不備 | B |
| クレジットカード会社アプリ | iOS版 | アプリの改ざん検知不備 | B |
| クレジットカード会社アプリ | Android版 | Runtime操作に対する保護の不整備 | D |
| クレジットカード会社アプリ | iOS版 | 操作中スナップショットイメージの保存可否を確認 | B |
| クレジットカード会社アプリ | 管理者ページ(Webページ)版 | セッション情報が残ることによる不正アクセスのリスク | D |
| クレジットカード会社アプリ | 管理者サーバー版 | 意図していないサービスへのアクセスを確認 | B |
| 決済事業者システム | 決済システムの外部ペネトレーションテスト(アプリケーション層) | 同一アカウントにより2重ログインが可能となっており、2重ログイン中も同等な権限により業務処理が可能 | E |
| 決済事業者システム | 決済システムの外部ペネトレーションテスト(ネットワーク層) | WebサーバーがHTTPS通信を強制していない | B |
| 金融事業者アプリ | Android版 | ユーザ認証が不十分なため、別アカウントの一部データの閲覧が可能となる危険性あり | E |
| 銀行アプリ | iOS版 | 正常アプリのままアプリの動作を変更することが可能 | B |
| 銀行アプリ | Android版 | 画面キャプチャー制限がされておらず、重要情報イメージの奪取が可能 | D |
| 銀行アプリ | Android版 | 難読化が未対応(機密情報や重要な動作保護の不備)、ソースコードの分析が簡易的に可能 | E |
| 銀行アプリ | iOS版 | キャッシュディレクトリ内への重要情報の保存 | B |
| 金融事業者Webサービス | サービスページ | ログイン失敗回数の制限をかけていないため悪意ある攻撃が可能 | D |
| 金融事業者Webサービス | Webサービスサーバーの外部ペネトレーションテスト | 管理画面内で管理するファイルの一部が外部からアクセスが可能 | D |
| 診断対象 | 診断結果の一例(概要) | 総合評価危険度 | |
|---|---|---|---|
| 銀行アプリ | Android版 | 難読化が未対応(機密情報や重要な動作保護の不備)、OS権限奪取の検知の不備 | E |
| 銀行アプリ | iOS版 | OS権限奪取の検知が不十分、重要画像データの削除処理の不備による重要情報の流出の可能性 | E |
| 銀行アプリ | 接続先API | 認証を迂回してサービスの重要な情報が奪取・操作される可能性あり | D |
| クレジットカード会社アプリ | Android版 | 難読化が未対応(機密情報や重要な動作保護の不備) | D |
| クレジットカード会社アプリ | iOS版 | アプリの改ざん検知不備 | B |
| 銀行アプリ | Android版 | 脆弱性なし | A |
| 銀行アプリ | iOS版 | DB内の重要情報が平文で保存されているため情報漏洩の可能性あり | B |
| 診断対象 | 診断結果の一例(概要) | 総合評価危険度 | |
|---|---|---|---|
| Fintech事業者アプリ | Android版 | OS権限奪取検知の不備、アプリの動作改ざんが可能 | D |
| Fintech事業者アプリ | iOS版 | OS権限奪取検知の不備、脆弱性悪用によるログイン情報の奪取が可能 | E |
| Fintech事業者アプリ | 接続先API | 脆弱性なし | A |
| 銀行アプリ | Android版 | OS権限奪取検知の不備、アプリの動作改ざん検知不備 | D |
| 銀行アプリ | iOS版 | OS権限奪取検知が不十分、アプリの動作改ざん検知不備 | D |
| 銀行アプリ | 接続先API | APIエラー返却値の処理中に、意図的にエラーを発生させ情報奪取が可能 | C |
| 銀行アプリ | Android版 | OS権限奪取検知の不備、メモリ上の情報の奪取が可能 | D |
| 銀行アプリ | iOS版 | OS権限奪取検知の不備、操作中のスナップショットからの情報漏えい対策が不十分 | D |
| 銀行アプリ | 接続先API | 認証データの処理が不十分なため、再利用による認証の迂回が可能 | D |
| クレジットカード会社アプリ | Android版 | 難読化が未対応(機密情報や重要な動作保護の不備) | C |
| クレジットカード会社アプリ | iOS版 | OS権限奪取検知の不備 | B |
| 銀行アプリ | Android版 | 難読化が未対応(機密情報や重要な動作保護の不備)、不適切な暗号化によるデータ露出の可能性あり | E |
| 銀行アプリ | iOS版 | 不適切なログインセッション情報の保存状態による、なりすましログインの可能性あり | D |
| 銀行アプリ | Android版 | 認証を迂回してサービス利用を行うことが可能 | D |
| 銀行アプリ | iOS版 | OS権限奪取検知の不備 | D |
| 銀行アプリ | 接続先API | 認証を迂回してサービスの重要な情報が奪取・操作される可能性あり | E |
| 決済事業者システム | 決済システムの外部ペネトレーションテスト(アプリケーション層) | CSVファイルとしてダウンロードされるデータを入力する際、適切なフィルタリングが無いため、攻撃コードを含んだCSVファイルの生成が可能 | E |
| クレジットカード会社アプリ | Android版 | OS権限奪取検知の不備、アプリの改ざん検知不備 | C |
| クレジットカード会社アプリ | iOS版 | OS権限奪取検知の不備、アプリの改ざん検知不備 | C |
| 製薬会社アプリ | Android版 | 難読化が未対応(機密情報や重要な動作保護の不備)、OS権限奪取の検知の不備、メモリ上の情報の奪取が可能 | E |
| 製薬会社アプリ | iOS版 | OS権限奪取の検知が不十分、アプリの改ざんが可能 | D |
| 製薬会社アプリ | 接続先API | サーバー情報が閲覧可能箇所に記載があるため脆弱性利用の攻撃につながる危険性がある | D |
| 診断対象 | 診断結果の一例(概要) | 総合評価危険度 | |
|---|---|---|---|
| 決済事業者システム | 決済システムの外部ペネトレーションテスト(アプリケーション層) | CSVファイルとしてダウンロードされるデータを入力する際、適切なフィルタリングが無いため、攻撃コードを含んだCSVファイルの生成が可能 | C |
サート製品導入のご相談はこちらから
Page Top