NRIセキュアテクノロジーズは2025年6月9日、Webアプリケーション脆弱性診断サービス「ソースコード診断」に、バックドア検査の診断項目に絞った「Lite」プランを追加した。ソフトウェア開発企業向けに提供する。診断期間の目安は2週間からで、料金は個別見積り。
NRIセキュアテクノロジーズの「ソースコード診断」は、Webアプリケーションのソースコードを診断し、セキュリティの問題点を網羅的に洗い出す脆弱性診断サービスである。手作業でのレビューとソースコード診断ツールを組み合わせて実施し、発見した問題に対し、具体的な対策方法をアドバイスする。
今回、バックドア検査の診断項目に絞った「Lite」プランを追加した。バックドアに付随する脆弱性の有無を診断し、診断結果と推奨対策を報告する(図1)。
図1:「ソースコード診断 Lite」の提供イメージ(出典:NRIセキュアテクノロジーズ)拡大画像表示
攻撃者がバックドアを動作させる領域として、以下の4つを挙げている(図2)。これらに対して、表1の6つの観点で調査する。
- 入力ソース:APIやデバッグ用のポートなど、バックドアに到達するための入力箇所
- トリガー:入力がバックドアを動作させる条件に一致するかを判定する動作
- ペイロード:特権画面や任意のOSコマンドの実行など、バックドアとして振る舞う機能
- 特権状態:バックドアが提供する権限。強力な権限を付与することが多い
図2:サイバー攻撃におけるバックドア内部処理の概念図(出典:NRIセキュアテクノロジーズ)拡大画像表示
| 観点 | 概要 |
|---|---|
| 特別な入力値 | 分岐する処理において、特別な入力値を受け取った際に不適切な処理が行われていないかを調査 |
| 隠しコマンド実行機能 | コマンドの実行系の機能を確認し、任意のパラメータを受け付ける箇所がないかを調査 |
| 意図しないネットワーク活動 | プライベートネットワークを探索する通信や外部へのビーコン通信など、診断対象のソフトウェアで通常利用しない不適切な通信が行われていないかを調査 |
| 脆弱な設定や機能の埋め込み | システムのセキュリティ上重要であるパラメータをアプリケーションから変更できる箇所がないかを調査 |
| 過度な権限付与 | 特権など、過剰な権限が利用されている箇所がないかを調査 |
| 難読化 | 難読化・暗号化された文字列に不適切な内容が含まれていないかを調査 |
