NRIセキュアテクノロジーズは2025年6月9日、Webアプリケーション脆弱性診断サービス「ソースコード診断」に、バックドア検査の診断項目に絞った「Lite」プランを追加した。ソフトウェア開発企業向けに提供する。診断期間の目安は2週間からで、料金は個別見積り。
NRIセキュアテクノロジーズの「ソースコード診断」は、Webアプリケーションのソースコードを診断し、セキュリティの問題点を網羅的に洗い出す脆弱性診断サービスである。手作業でのレビューとソースコード診断ツールを組み合わせて実施し、発見した問題に対し、具体的な対策方法をアドバイスする。
今回、バックドア検査の診断項目に絞った「Lite」プランを追加した。バックドアに付随する脆弱性の有無を診断し、診断結果と推奨対策を報告する(図1)。
図1:「ソースコード診断 Lite」の提供イメージ(出典:NRIセキュアテクノロジーズ)拡大画像表示
攻撃者がバックドアを動作させる領域として、以下の4つを挙げている(図2)。これらに対して、表1の6つの観点で調査する。
- 入力ソース:APIやデバッグ用のポートなど、バックドアに到達するための入力箇所
- トリガー:入力がバックドアを動作させる条件に一致するかを判定する動作
- ペイロード:特権画面や任意のOSコマンドの実行など、バックドアとして振る舞う機能
- 特権状態:バックドアが提供する権限。強力な権限を付与することが多い
図2:サイバー攻撃におけるバックドア内部処理の概念図(出典:NRIセキュアテクノロジーズ)拡大画像表示
| 観点 | 概要 |
|---|---|
| 特別な入力値 | 分岐する処理において、特別な入力値を受け取った際に不適切な処理が行われていないかを調査 |
| 隠しコマンド実行機能 | コマンドの実行系の機能を確認し、任意のパラメータを受け付ける箇所がないかを調査 |
| 意図しないネットワーク活動 | プライベートネットワークを探索する通信や外部へのビーコン通信など、診断対象のソフトウェアで通常利用しない不適切な通信が行われていないかを調査 |
| 脆弱な設定や機能の埋め込み | システムのセキュリティ上重要であるパラメータをアプリケーションから変更できる箇所がないかを調査 |
| 過度な権限付与 | 特権など、過剰な権限が利用されている箇所がないかを調査 |
| 難読化 | 難読化・暗号化された文字列に不適切な内容が含まれていないかを調査 |
- 業務システム 2027年4月強制適用へ待ったなし、施行迫る「新リース会計基準」対応の勘所【IT Leaders特別編集版】
- 生成AI/AIエージェント 成否のカギは「データ基盤」に─生成AI時代のデータマネジメント【IT Leaders特別編集号】
- フィジカルAI AI/ロボット─Society 5.0に向けた社会実装が広がる【DIGITAL X/IT Leaders特別編集号】
- メールセキュリティ 導入のみならず運用時の“ポリシー上げ”が肝心[DMARC導入&運用の極意]【IT Leaders特別編集号】
- ゼロトラスト戦略 ランサムウェア、AI詐欺…最新脅威に抗するデジタル免疫力を![前提のゼロトラスト、不断のサイバーハイジーン]【IT Leaders特別編集号】
-
VDIの導入コストを抑制! コストコンシャスなエンタープライズクラスの仮想デスクトップ「Parallels RAS」とは
-
AI時代の“基幹インフラ”へ──NEC・NOT A HOTEL・DeNAが語るZoomを核にしたコミュニケーション変革とAI活用法
-
加速するZoomの進化、エージェント型AIでコミュニケーションの全領域を変革─「Zoom主催リアルイベント Zoomtopia On the Road Japan」レポート
-
14年ぶりに到来したチャンスをどう活かす?企業価値向上とセキュリティ強化・運用効率化をもたらす自社だけの“ドメイン”とは
-
-
-
-
生成AIからAgentic AIへ―HCLSoftware CRO Rajiv Shesh氏に聞く、企業価値創造の課題に応える「X-D-Oフレームワーク」
-
-
-
「プラグアンドゲイン・アプローチ」がプロセス変革のゲームチェンジャー。業務プロセスの持続的な改善を後押しする「SAP Signavio」
-
BPMとプロセスマイニングで継続的なプロセス改善を行う仕組みを構築、NTTデータ イントラマートがすすめる変革のアプローチ
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
