擬似侵入テスト
企業インフラストラクチャの主要な情報システムに存在するCVE(Common Vulnerabilities and Exposures)、CWE(Common Weakness Enumeration)の脆弱性分析後、実際に浸透するかどうかを把握して、技術的なセキュリティの脆弱性を診断し、効果的な改善策を用意し、重要な情報システムのセキュリティと安全性を確保するためのサービスです。
お客様の重要なシステムについては、セキュリティ担当者の事前承認をいただいた後、脆弱性を発見し、部外者視点で侵入テスト(Penetration Test)をして、これが原因で発生することがあるハッキングの脅威と内部のセキュリティ事故を予防し、阻止するための対応策を提示します。お客様のセキュリティ担当者との事前協議後、擬似ハッキング担当コンサルタントによって行われ、情報システムへの外部からのハッカーを装って侵入テストを実行すると、内部の悪意のあるユーザーを装った情報の流出やシステム破壊などのシナリオを想定しテストを実施します。
脆弱性検査ツールやコンサルタントマニュアルの確認を行い、様々なパターンベースの侵入テストが行われるが、実際の攻撃に応じた範囲、リスク、攻撃可能かどうかを測定し、この脆弱性を削除する際の優先順位を指定することができます。
擬似侵入テストを通じて、企業の情報資産の保護、セキュリティ事故の予防、企業イメージの向上と信頼性の向上にメリットとして作用することができます。
Webアプリケーション
主要な情報通信基盤の脆弱性、SQL Injection、Cross Site Scripting(XSS)、ファイルアップ/ダウンロード、ディレクトリの移動、インデックス、クッキー操作/変調、Command Injection、PHP Injectionなど
スマートフォン
Jailbreak、Android root化を対象とした個人情報収集とハッキング診断、スマートフォン・無線LANの脆弱性を悪用した攻撃の診断、セッションの脆弱性、ユーザーアカウントクラッキング診断、QR codeとフィッシングサイトを悪用したスマートフォンの個人情報収集・攻撃診断、SSL認証バイパス手法を悪用したスマートフォンの個人情報収集・攻撃診断、悪意のあるアプリケーションを悪用した個人情報・ファイル・証明書の収集、その他多数
ワイヤレスネットワーク
WEP、不正なWPA Key、MAC Filteringバイパス、ワイヤレスネットワークのなりすまし、盗聴、違法AP攻撃、不正なクライアント攻撃、有線/無線の統合侵入テストの診断、その他多数
システム/ネットワーク/VoIP
Exploit Attack、Dos Attack、Bound Attack、Stack Overflow、Heap Overflow、Heap Spray、Format String bug、IP/ ARP/ DNSスプーフィング攻撃、MITM/Sniffing攻撃、セッションハイジェクキン攻撃、ルータ/スイッチの脆弱性分析や攻撃、DHCP/SSH関連の攻撃、VoIPネットワーク盗聴など
お客様のWebサイトは、攻撃に晒されていませんか?
70%のWebサイトとネットワークは、既に悪質なハッキングの脆弱性に晒されています。
今からでも遅くありません。脆弱性を見つけてWebサイトを守りましょう。