top of page
IMG_0546.JPG

診断内容

~ 当社の脆弱性診断は「手動」を中心に行います ~

ツールの自動検知だけでは見つからない 認証・権限の抜け穴 や ビジネスロジックの破綻 を、攻撃者の視点で丁寧に洗い出します。ここでは 実際に確認する項目例 をカテゴリ別に詳しく公開します。

対象カテゴリ

※生成AI関連の診断も対応可能です。OpenAIスポンサーのハッキングコンテスト「GrayswanArena」の上位ランカーが担当し、プロンプトインジェクションや越権応答などを最新の研究を反映し、リアルな攻撃シナリオを想定した診断をご提供します。詳しくはお問い合わせください。

Webアプリケーション診断

    • SQLインジェクション

    • OSコマンドインジェクション

    • HTTPヘッダインジェクション

    • ファイルインクルージョン

    • コードインジェクション

    • XXEインジェクション

    • メールヘッダインジェクション

    • クロスサイトスクリプティング(XSS)

    • ログインフォームの不備

    • ログイン試行のエラーメッセージ

    • アカウントロック機能の不備

    • ログアウト機能の不備

    • 認証の回避

    • 強制ブラウジング

    • ユーザ登録フローの不備

    • パスワード変更・リセット機能の不備

    • 脆弱なパスワードポリシー

    • 権限昇格

    • 認可制御の不備

    • Cookieのsecure属性の欠如

    • セッションの有効期限

    • セッションIDのランダム性確認

    • セッションフィクセーション

    • クロスサイトリクエストフォージェリ(CSRF)

    • 既知のソフトウェア脆弱性

    • ディレクトリリスティング

    • 不要なHTTPメソッド

    • サーバーエラーメッセージ

    • システム情報の開示

    • ロジックの不備

    • レースコンディション

    • メール送信機能の悪用

    • キャッシュ制御の不備

    • ディレクトリトラバーサル

    • ファイルアップロードの不備

    • オープンリダイレクト

    • SSRF(サーバーサイドリクエストフォージェリ)

    • 安全でないデシリアライゼーション

    • 平文による機微情報の送受信

    • 機微情報のGETパラメータでの受け渡し

API診断

  • オブジェクトレベルでの許可の不備(ユーザ間のデータアクセス)

  • 認証の不備(不正なユーザーがAPIを利用)

  • 機能レベルの認可の不備(権限外ユーザによる管理機能アクセス)

  • SSRF(サーバーサイドリクエストフォージェリ)

  • その他:設定不備、安全でないAPI利用

モバイル診断

  • logcat:機微情報を含む不適切なログ出力

  • 外部から不正なURLをWebView内に表示

  • インテントリダイレクト

  • ハードコードされたクレデンシャル

  • セキュアでないブロードキャストレシーバ

  • セキュアでないコンテンツプロバイダー

  • タスクハイジャック(Strandhogg 2.0 / Android)

  • 生体認証バイパス

プラットフォーム診断(サーバ・ネットワーク)

  • 初期パスワードの使用(ルーター・管理画面)

  • バナー情報の開示(サーバーサービスのバージョン公開)

  • 暗号化の不備(HTTPSで安全でない暗号化方式)

  • 認証の不備(SSHの弱いパスワード/公開鍵認証の不備)

  • ポートスキャンによる設定不備の洗い出し

  • 既知の脆弱性の特定

AIエージェント診断

    • 診断内容

      • 禁止行為や内部方針の露出を狙う誘導に対し、拒否・代替案内が一貫して機能するかを対話で検証。

    • 代表的な手法

      • 前置/後置の方針転換指示、ロール偽装(管理者/医師等)、符号化(Base64等)、長文ノイズ。

    • 確認点

      • 内部方針の露出/拒否と安全誘導の一貫性

    • 診断内容

      • 自傷・違法・差別・医療的に危険な依頼に対して、婉曲表現や目的偽装(例:教育目的)でも拒否→安全な案内(受診勧奨等)が提示されるかを確認。

    • 代表的な手法

      • 言い換え・暗示・目的偽装、境界表現の反復。

    • 確認点

      • 拒否と安全誘導の安定/曖昧表現での誤案内。

    • 診断内容

      • 他人の会話や内部情報が、対話操作やセッション切替等で勝手に露出しないかを外形的に確認。

    • 代表的な手法

      • 別ブラウザ/シークレット/別デバイスなどで前会話が紛れないか/別アカウントでの「他者会話の要約」要求に応じないか/内部名・環境情報の匂わせ検出。

    • 確認点

      • 他者の会話の表示/履歴の持ち越し/内部情報の匂わせなし。

    • 診断内容

      • AI出力に危険記法(HTML/Markdown/リンク等)が混ざっても、画面側で不正動作が起きないかを確認。

    • 代表的な手法

      • <script> 等の危険タグの素通り表示、怪しいURL誘導、埋め込みプレビューの挙動。

    • 確認点

      • スクリプト様文字列の非実行/危険URLへの警告・無害化。

    • 診断内容

      • 短時間連投・極端な長文・境界サイズ投入で、応答遅延や不安定化が生じないかを負荷の範囲で観測。

    • 代表的な手法

      • 多数連投、超長文、閾値付近の入力連続。

    • 確認点

      • レート制御・要約案内の適切さ/異常時メッセージの明瞭さ。

    • 診断内容

      • トークン消費・遅延の誘発を外形的に確認。

    • 代表的な手口

      • 「この1万字を毎回読み直してから回答」指示、履歴の再掲を強要。

    • 確認点

      • 長文時の入力制限・要約提案の有効性/不要な履歴を抱え込まない/超過時メッセージの明瞭さ。

※このページは、当社の診断で実際に確認する項目を例示しまとめたものであり、実際の診断と内容が異なることがあります。

gray_background15.jpg

レポートサンプルのご案内

各指摘は 再現手順・影響範囲・原因推定・修正案 まで詳述しています。
実際の記載イメージはサンプルでご確認ください。

今すぐ無料相談

専門エンジニアが 3 営業日以内にご連絡します。

まずは相談する →

bottom of page