GMOサイバーセキュリティ byイエラエ、WebアプリやIoT機器のバックドアを診断するサービス

　GMOサイバーセキュリティ byイエラエ株式会社は22日、ペネトレーションテストのオプションサービスとして、WebアプリケーションやIoT機器を対象に“悪意のあるコード”の混入をホワイトハッカーがチェックする新メニュー、「バックドア診断」の提供を開始したと発表した。

　バックドア診断は、GMOサイバーセキュリティ byイエラエがこれまでに培ってきた、Webアプリケーション・IoT機器に対する攻撃者目線のソースコード解析やリバースエンジニアリング、動的解析等のノウハウを活用し、バックドアが設置されていたり悪意のあるコードが混入されたりしていないかを、ホワイトハッカーが調査するもの。

　1）設計・仕様書との乖離（かいり）確認、2）バックドアになり得る処理の有無、3）適切なデータ保護や管理方法の確認、4）悪意ある文字列の埋め込みの確認、5）脆弱性の有無の確認――といった観点に沿ってソースコードを確認するとした。

　なお1）では、例えば、仕様書に存在しないAPIやリクエストパラメータ、公開サービスが実装されているかどうかを確認。2）では、OSコマンド実行や動的なコード実行（例：eval）、通信などを行っている箇所や前後に、不自然な処理内容が存在しないかを確認する。

　また3）では、脆弱な暗号化アルゴリズムやハッシュアルゴリズムが使用されていないかや、不適切な利用方法が存在しないかを確認。平文通信の有無を確認し、中間者攻撃に対して脆弱でないかどうの確認も行うとしている。

　さらにこうした確認については、テスト対象の機器・システムの種類や、関連する各種業界規制等に基づいたカスタマイズにも対応するとのこと。

　価格は個別見積もりで、ソースコードの量や診断工数などの要件によって変動するとしている。