現在製造中もしくは開発中の組み込み機器にセキュリティ上の問題点がないかを、ネットワーク及び各種コネクティビティよりブラックボックス形式にて検証いたします。

セキュリティ上の問題点の例

• 悪意ある第３者による故意のサービス停止
• 機器内の情報(ID情報、認証情報等)の不正取得及び改ざん
• 組み込み機器を経由したネットワークハッキング(設定、情報露出等)

検査の目的

• 販売中の機器に内在するセキュリティ上の問題点を認識する
  製造中の機器で深刻な問題点には修正を実施
  問題点を認識することでインシデント発生時に迅速な対応
• 開発中の機器に内在するセキュリティ上の問題点を認識する
  発見された問題点をリリース前に修正
  セキュリティ検査を実施していることによる製品への付加価値

経験豊富なエンジニアが以下項目を全て手作業で実施します。

• DoS耐性テスト
• 認証バイパステスト
• 個々のプロトコルテスト
• 初期設定の脆弱性テスト
• 情報露出、情報漏洩テスト

DoS耐性テスト

悪意のあるパケットや、大量の情報をプロトコルレベル及びTCP/IPレベルで組み込み機器に送付すること等により、サービスの停止が起きないかを検証します。

認証バイパステスト

ブルートフォース攻撃、HTTP通信の偽装、不正な権限昇格等を通じて、パスワードやその他認証をバイパスして組み込み機器にログインできないかを検証します。

個々のプロトコルテスト

組み込み機器の使用している全てのサービスにおいて潜在的なセキュリティリスクがないかを検証します。例えば、管理用にHTTPサーバを使用している場合は、クロスサイトスクリプティング、ディレクトリのリスティングや不正なJavaScriptの実行等のテストを実施、FTPを使用している場合は、匿名でのFTPアクセス、FTPバウンス攻撃、書換可能なディレクトリチェック等のテストを実施し、全てのプロトコルが、機密性・完全性・可用性を正当に満たしているかを検証します。

初期設定の脆弱性テスト

初期パスワード、アクセス制御リストを始めとした、組み込み機器の初期設定を全てチェックすることにより、潜在的な脆弱性を把握し、ユーザが組み込み機器を導入する以前に実施すべきセキュリティ対策を検証します。

情報露出、情報漏洩テスト

ファイルの名前やパスがエラーメッセージを介して漏洩しないか、Cookieに推測可能な情報が露出していないか、SNMPからデータが漏洩しないか等、攻撃者・侵入者にとって有利となる情報が露出していないかを検証します。

• 検査作業中の機器及びマニュアルの貸与
• 検査作業中の開発担当者様との連絡体制
  技術的質問等が可能であるよう携帯電話番号の連絡