新しい生産性ワークスペース
をお見逃しなく
- Klever Suite
Tokyo Techiesによる最先端の生産性ワークスペース、新しいKlever Suite の製品サイトをご覧ください。Klever Suiteで、あなたの仕事とチームをひとつの場所に集め、生産性を何段階も高めましょう!
Klever Suite 製品サイトを見る
close
仮想通貨取引を安全に
某仮想通貨取引プラットフォーム ホワイトボックスペネトレーションテスト

Summary

仮想通貨関連システムのサイバーセキュリティコンサルティングプロジェクトをご紹介します。ペネトレーションテストとクライアントのシステムのコードレビュー(クラウドインフラストラクチャ、ウェブ、モバイル、および個々のブロックチェーンウォレットシステム)を実施しました。

The Case

仮想通貨取引はハッキングやサイバー攻撃の標的となりやすく、世界中でこの問題が増えています。たとえば日本は2017年から2022年までの間、ある国のハッキングにより980億円相当の暗号資産が不正に取得されていたと明らかになっています。

私たちのクライアントも仮想通貨業界のリスクに危機感を強めており、新たに開発した仮想通貨取引プラットフォームの脆弱性を特定したいと考えていました。

このプラットフォームは依頼を受けた当時リリース3週間前という時期でしたが、それにもかかわらず外部のペネトレーションテスト、詳細なコードレビューを実施して、システムを確実に安全なものにすつという強い希望を持っていました。

Tokyo TechiesはCEOのDucをはじめサイバーセキュリティの専門家が在籍しており、その技術の高さを買われてこのテストの依頼を受けました。クライアントのシステム(クラウドインフラストラクチャ、ウェブ、モバイル、ブロックチェーンウォレットシステム)に対して包括的なペネトレーションテストとコードレビューをわずか14営業日で実施しました。

弊社が提案したアプローチ:
①システムを迅速に分析して潜在的なリスクを特定 ②最も重要な項目に優先順位を付け、ペネトレーションテストを実行 ③セキュリティの問題に対する解決策を提案 ④修正プログラムの検証

最初の計画段階では、弊社と姉妹会社のベトナムチームも加わり、国境を越えた共同作業が行われました。

ホワイトボックステストでは、ペネトレーションテストのために必要な全ての権限が与えられ実施されました。テストの主な焦点は、複数の調査と攻撃を実行し、システム内に存在する脆弱性を特定することでした。
プロセス:
①システムの構造を確認 ②ネットワークを評価 ③サブシステムを特定 ④システムの欠陥を利用して脆弱性を調査 ⑤結果をクライアントに報告

The Results

Tokyo Techiesは、クライアントのクラウドアーキテクチャ、ウェブアプリケーション、モバイルアプリケーション、ブロックチェーンウォレットなどに包括的な調査とコードレビューを行い、30以上のセキュリティ上の問題を特定しました。そのうち約10件は、リリース前に即座に修正が必要な重大な脆弱性でした。以下に、いくつかの問題点を挙げます。

その中でも大きな2つの問題

  1. API関数への制限の欠落: 多くのAPI関数に適切な制限がなかったため、ユーザーが他のユーザーの情報にアクセスし、変更できてしまう可能性がありました。これは重大なセキュリティリスクとなります。Tokyo Techiesはこの問題を修正するための提案を行い、適切に実装されたことを確認しました。
  2. 古いソフトウェアの使用: プラットフォームが古いソフトウェア(Apache、OpenSSL、jQuery Bootstrap、Bootstrap-Vue、Laravel、PHPなど)を使用していたため、既知の脆弱性を悪用される可能性がありました。セキュリティ重視の企業はインフラストラクチャを定期的に調査し、最新の状態を保つ必要があります。Tokyo Techiesは関連する修正を提案し、それらが適切に実装されたことを確認しました。

これらをはじめとする脆弱性を修正し、システムのセキュリティを強化することで、Tokyo Techiesはプラットフォームのリリースに向けて準備を整えました。リリース後もシステムのセキュリティレベルを確保し、リスクの分析や品質向上のための計画を提案しています。さらに、定期的な調査を予定しており、特に重要なリリースの前には調査を行う予定です。


私たちのチームは、高度な技術とサイバーセキュリティの専門知識を活用して、クライアントの仮想通貨取引プラットフォームのセキュリティを最大限に向上させることに取り組みます。安全性の確保とリスク軽減を重視したサービスを提供いたします。ペネとレーションテストをはじめとするサイバーセキュリティの実施をご検討中の方は、お気軽にお問い合わせください。無料相談も承っております。


Technologies used

See next case study:

医療系スタートアップ企業の社内ERP開発、ITリソース整備に貢献

mouse stalker

お問い合わせ

以下フォームよりお気軽に
お問い合わせください。
お問い合わせ内容の確認後、
担当者よりご連絡させていただきます。

お問い合わせ

以下のフォームよりお気軽にお問い合わせください。

ありがとう!

お問い合わせいただきありがとうございます。
順次内容を確認し、48時間以内に回答いたします!
それまでの間、私たちをチェックしてください 
ソーシャルメディアチャンネルで最新情報を入手してください!
おっと!フォームの送信中に問題が発生しました。
ビジネスを次のステップへ
Tokyo Techiesと、ともに
icon down
chat

チャットで質問する