saat

診断実績

これまでに弊社で実施した診断により、報告された診断結果の一例です。

2023年

診断対象 診断結果の一例(概要) 総合評価危険度
金融事業者Webサービス サービスページ エラーメッセージの露出を確認 D
金融事業者Webサービス Webサービスサーバーの外部ペネトレーションテスト 識別されたドメイン内に未知のディレクトリがあることを確認 D
銀行アプリ Android版 暗号化されていないDBの利用を確認 B
銀行アプリ iOS版 外部通信からの攻撃に関するセキュリティの向上を推奨 B
銀行アプリ Android版 送信データの暗号化を推奨 B
銀行アプリ iOS版 アプリにて利用しているWebViewに関するセキュリティの向上を推奨 B
CMS CMS診断 利用しているブラグインにて過去に脆弱性が発見されたことがあるため、最新版を常に適用することを推奨 B
学生向けWebサービス サービスページ 認証プロセスを迂回できることを確認 D
製薬会社アプリ Android版 OS異常の検知がされておらず、OS異常状態でも動作が可能 E
製薬会社アプリ iOS版 操作中のスナップショットの画像を保存することが可能 E
製薬会社アプリ 接続先API 特定機能へのアクセス時に、エラーなどの失敗回数の制限が設定されていない D
銀行アプリ Android版 正常なアプリのままアプリの動作を変更することが可能 B
銀行アプリ iOS版 正常なアプリに攻撃者が意図した動作に改ざんした偽アプリを作成することが可能 B
金融事業者アプリ Android版 OS異常の検知がされておらず、OS異常状態でも動作が可能 E
金融事業者アプリ iOS版 Runtime操作に対する保護の不整備 E
クレジットカード会社アプリ Android版 正常なアプリのままアプリの動作を変更することが可能 B
クレジットカード会社アプリ iOS版 正常なアプリに攻撃者が意図した動作に改ざんした偽アプリを作成することが可能 B

2022年

診断対象 診断結果の一例(概要) 総合評価危険度
クレジットカード会社アプリ Android版 正常なアプリのままアプリの動作を変更することが可能 B
クレジットカード会社アプリ iOS版 正常なアプリに攻撃者が意図した動作に改ざんした偽アプリを作成することが可能 B
金融事業者アプリ iOS版 OS異常の検知がされておらず、OS異常状態でも動作が可能 E
金融事業者アプリ Web版 セッションタイムアウトが未実装 D
金融事業者アプリ iOS版 操作中のスナップショットの画像を保存することが可能 B
教育関連アプリ Web版 不必要なメソッド使用の許可されており、悪用されるリスクがあることを確認 D
銀行アプリ Android版 OS異常の検知がされておらず、OS異常状態でも動作が可能 E
銀行アプリ iOS版 プログラムの重要な情報などがデバッグログに存在 E
銀行アプリ 接続先API 利用しているサーバのソフトウェアバージョンの露出 D
クレジットカード会社アプリ Android版 プログラム中の特定の箇所に独自の処理を追加し、アプリの動作を変更することが可能 B
クレジットカード会社アプリ iOS版 外部からアプリを改ざんし、攻撃者が意図した動作を実行する偽アプリの作成が可能 B
クレジットカード会社アプリ 接続先API デフォルトエラーメッセージの表示 D
銀行アプリ Android版 意図しない導線にてアプリを利用することが可能 D
銀行アプリ iOS版 スナップショットの制限がされておらず、重要情報イメージの奪取が可能 B
金融事業者アプリ 外部ペネトレーションテスト(ネットワーク層) 推奨されている暗号化以外のものでも通信が可能 D
決済事業者システム 決済システムの内部ペネトレーションテスト(アプリケーション層) 同一アカウントにより2重ログインが可能 D
決済事業者システム 決済システムの内部ペネトレーションテスト(ネットワーク層) サポートされていないプログラミング言語を利用 E
決済事業者システム 決済システムの外部ペネトレーションテスト(アプリケーション層) CSVファイルとしてダウンロードされるデータを入力する際、適切なフィルタリングが無いため、攻撃コードを含んだCSVファイルの生成が可能 D
決済事業者システム 決済システムの外部ペネトレーションテスト(ネットワーク層) 仮想ホストの可能性があるホストが検出 B

2021年

診断対象 診断結果の一例(概要) 総合評価危険度
クレジットカード会社アプリ Android版 OS権限奪取検知の不備 B
クレジットカード会社アプリ iOS版 アプリの改ざん検知不備 B
クレジットカード会社アプリ Android版 Runtime操作に対する保護の不整備 D
クレジットカード会社アプリ iOS版 操作中スナップショットイメージの保存可否を確認 B
クレジットカード会社アプリ 管理者ページ(Webページ)版 セッション情報が残ることによる不正アクセスのリスク D
クレジットカード会社アプリ 管理者サーバー版 意図していないサービスへのアクセスを確認 B
決済事業者システム 決済システムの外部ペネトレーションテスト(アプリケーション層) 同一アカウントにより2重ログインが可能となっており、2重ログイン中も同等な権限により業務処理が可能 E
決済事業者システム 決済システムの外部ペネトレーションテスト(ネットワーク層) WebサーバーがHTTPS通信を強制していない B
金融事業者アプリ Android版 ユーザ認証が不十分なため、別アカウントの一部データの閲覧が可能となる危険性あり E
銀行アプリ iOS版 正常アプリのままアプリの動作を変更することが可能 B
銀行アプリ Android版 画面キャプチャー制限がされておらず、重要情報イメージの奪取が可能 D
銀行アプリ Android版 難読化が未対応(機密情報や重要な動作保護の不備)、ソースコードの分析が簡易的に可能 E
銀行アプリ iOS版 キャッシュディレクトリ内への重要情報の保存 B
金融事業者Webサービス サービスページ ログイン失敗回数の制限をかけていないため悪意ある攻撃が可能 D
金融事業者Webサービス Webサービスサーバーの外部ペネトレーションテスト 管理画面内で管理するファイルの一部が外部からアクセスが可能 D

2020年

診断対象 診断結果の一例(概要) 総合評価危険度
銀行アプリ Android版 難読化が未対応(機密情報や重要な動作保護の不備)、OS権限奪取の検知の不備 E
銀行アプリ iOS版 OS権限奪取の検知が不十分、重要画像データの削除処理の不備による重要情報の流出の可能性 E
銀行アプリ 接続先API 認証を迂回してサービスの重要な情報が奪取・操作される可能性あり D
クレジットカード会社アプリ Android版 難読化が未対応(機密情報や重要な動作保護の不備) D
クレジットカード会社アプリ iOS版 アプリの改ざん検知不備 B
銀行アプリ Android版 脆弱性なし A
銀行アプリ iOS版 DB内の重要情報が平文で保存されているため情報漏洩の可能性あり B

2019年

診断対象 診断結果の一例(概要) 総合評価危険度
Fintech事業者アプリ Android版 OS権限奪取検知の不備、アプリの動作改ざんが可能 D
Fintech事業者アプリ iOS版 OS権限奪取検知の不備、脆弱性悪用によるログイン情報の奪取が可能 E
Fintech事業者アプリ 接続先API 脆弱性なし A
銀行アプリ Android版 OS権限奪取検知の不備、アプリの動作改ざん検知不備 D
銀行アプリ iOS版 OS権限奪取検知が不十分、アプリの動作改ざん検知不備 D
銀行アプリ 接続先API APIエラー返却値の処理中に、意図的にエラーを発生させ情報奪取が可能 C
銀行アプリ Android版 OS権限奪取検知の不備、メモリ上の情報の奪取が可能 D
銀行アプリ iOS版 OS権限奪取検知の不備、操作中のスナップショットからの情報漏えい対策が不十分 D
銀行アプリ 接続先API 認証データの処理が不十分なため、再利用による認証の迂回が可能 D
クレジットカード会社アプリ Android版 難読化が未対応(機密情報や重要な動作保護の不備) C
クレジットカード会社アプリ iOS版 OS権限奪取検知の不備 B
銀行アプリ Android版 難読化が未対応(機密情報や重要な動作保護の不備)、不適切な暗号化によるデータ露出の可能性あり E
銀行アプリ iOS版 不適切なログインセッション情報の保存状態による、なりすましログインの可能性あり D
銀行アプリ Android版 認証を迂回してサービス利用を行うことが可能 D
銀行アプリ iOS版 OS権限奪取検知の不備 D
銀行アプリ 接続先API 認証を迂回してサービスの重要な情報が奪取・操作される可能性あり E
決済事業者システム 決済システムの外部ペネトレーションテスト(アプリケーション層) CSVファイルとしてダウンロードされるデータを入力する際、適切なフィルタリングが無いため、攻撃コードを含んだCSVファイルの生成が可能 E
クレジットカード会社アプリ Android版 OS権限奪取検知の不備、アプリの改ざん検知不備 C
クレジットカード会社アプリ iOS版 OS権限奪取検知の不備、アプリの改ざん検知不備 C
製薬会社アプリ Android版 難読化が未対応(機密情報や重要な動作保護の不備)、OS権限奪取の検知の不備、メモリ上の情報の奪取が可能 E
製薬会社アプリ iOS版 OS権限奪取の検知が不十分、アプリの改ざんが可能 D
製薬会社アプリ 接続先API サーバー情報が閲覧可能箇所に記載があるため脆弱性利用の攻撃につながる危険性がある D

2018年

診断対象 診断結果の一例(概要) 総合評価危険度
決済事業者システム 決済システムの外部ペネトレーションテスト(アプリケーション層) CSVファイルとしてダウンロードされるデータを入力する際、適切なフィルタリングが無いため、攻撃コードを含んだCSVファイルの生成が可能 C

サート製品導入のご相談はこちらから

ページトップへPage Top