サイバーセキュリティ関連事業を展開する株式会社Flatt Security(代表取締役社長:井手康貴 以下、Flatt Security)は、本日10月25日(火)より、ブロックチェーン関連サービスのセキュリティリスクを調査・検証する「ブロックチェーン診断」(URL:https://flatt.tech/assessment/blockchain)を正式に提供開始することを発表した。
「ブロックチェーン診断」では、ブロックチェーンやスマートコントラクト自体のセキュリティリスクを診断することが可能となっており、NFT、暗号資産(仮想通貨)、DeFi(分散型金融)、メタバースをはじめとするブロックチェーンを活用した各種Web3関連サービス開発・実装時に最適な診断メニューとなっている。
さらに、ブロックチェーンやスマートコントラクトと繋がるWebアプリケーションの脆弱性を検証・調査可能な「Webアプリケーション診断」と組み合わせて利用することにより、サービスのバックエンドとして機能するブロックチェーン部分とフロントエンドとして機能するWebアプリケーション部分双方のセキュリティリスクを確認することが可能。
■提供開始の背景
ブロックチェーンは改ざん耐性が高いという特徴を持ち、NFTや暗号資産をはじめとする様々なWeb3関連サービスに活用されている。一方で、その特徴から不正なデータや取引履歴が生じた場合も後から修正することが困難となるため、サイバー攻撃を受けた場合のリスクは、通常のWebサービスより高くなっている。
これまで、Flatt Securityではセキュリティ診断メニューの1つである「Webアプリケーション診断」において、様々なWeb3関連サービスのWebアプリケーションを対象とした脆弱性の調査・検証を行ってきた。昨今のWeb3関連サービスの多様化・普及によるニーズの高まりを受け、この度、ブロックチェーン・スマートコントラクトのセキュリティリスク検証・調査に特化した「ブロックチェーン診断」の提供を開始することなった。
Flatt Securityは、今後も多様化する開発環境・開発者に寄り添い、セキュリティサービスを拡充することで、開発者フレンドリーな専門家集団としてセキュアな次世代プロダクト開発に貢献していくという。
■「ブロックチェーン診断」について(URL:https://flatt.tech/assessment/blockchain)
Web3関連サービスのバックエンドとして機能するブロックチェーンやスマートコントラクトのセキュリティリスク調査・検証に特化した診断メニューとなっている。Web3関連サービスのフロントエンドとして機能するWebアプリケーションの脆弱性を調査・検証可能な「Webアプリケーション診断」と組み合わせることで、バックエンドとして機能するブロックチェーン部分とフロントエンドとして機能するWebアプリケーション部分双方のセキュリティリスクを確認することが可能。
「ブロックチェーン診断」「Webアプリケーション診断」のいずれにおいても、Web3サービスのみならず、金融やSaaS等の多様な業界・企業に対する豊富な診断実績を持つスキルの高いセキュリティエンジニアが診断を実施し、開発者にもわかりやすい形で脆弱性のリスク・対策をレポートする。
また、ブロックチェーン・スマートコントラクトに関連するサービスの場合においても「Webアプリケーション診断」のみの利用も可能。詳細は、問い合わせを。
<Web3関連サービスの診断観点(例)>
【ブロックチェーン診断】
- リエントランシー:スマートコントラクト内の不正な反復・連続処理が生じる脆弱性
(例)第三者の口座への暗号資産の転送が不正に連続して行われる
- フロントランニング:ブロックチェーン内取引が実行される前に内容を閲覧された場合、攻撃者に有利な取引が可能となる脆弱性
(例)NFTオークションにおいて、第三者の入札額を取引実行前に閲覧された場合、攻撃者に有利な取引が成立してしまう
- その他のロジック不備
(例)アイテムや暗号資産等の盗難・流出
【Webアプリケーション診断】
- 認証・認可、決済等の重要な機能のロジック不備
(例)Web3関連サービス内でのなりすまし、アイテムや暗号資産等の不正取得
- XSSやSQLインジェクション等の典型的な脆弱性
(例)ユーザーの個人情報や決済情報等の漏洩
■NFT関連サービスでの診断実施事例(double jump.tokyo株式会社)
NFT関連事業を展開するdouble jump.tokyo株式会社に「Webアプリケーション診断」を使ってもらい、double jump.tokyoが提供するビジネス向けNFT管理サービス「N Suite」(URL:https://www.nsuite.io/)を対象とした、Webアプリケーションの脆弱性調査・検証を実施した。診断の経緯や概要についてのインタビュー記事を公開しているので、以下URLを参照。
【セキュリティ診断事例インタビュー】double jump.tokyoのNFT管理サービスのセキュリティ診断。他社では難しかった「認可フローを重点的に診断」「gRPC-Web対応」の2要件をクリア
URL:https://flatt.tech/assessment/voice/doublejumptokyo
■ Flatt Securityが提供する「開発者のためのセキュリティサービス」
- セキュリティ診断(URL:https://flatt.tech/assessment/detail )
セキュリティエンジニアが、Webサービスやスマートフォンアプリを対象として情報漏洩や不正利用につながる脆弱性がないか調査・検証し、レポーティングするサービス。「脆弱性診断」とも呼ばれている。Flatt Securityの「セキュリティ診断」は、SaaS提供企業から社会インフラ提供企業、金融機関まで幅広い業界での診断実績を持つ、経験豊富なセキュリティエンジニアが実施。アプリケーションの実装だけでなく、AWS・GCP・AzureといったパブリッククラウドやFirebaseをはじめとするmBaaSにも幅広く対応しているため、より多角的にリスクを洗い出すことができるのに加え、多様化する開発環境を理解し開発者に寄り添った開発者目線でのフィードバックを提供するのが大きな特徴となっている。
- セキュアな設計・開発のための学習プラットフォーム「KENRO」(ケンロー)(URL: https://flatt.tech/kenro )
エンジニアがセキュアにWebアプリケーションの設計・開発を行うためのクラウド型学習プラットフォーム。開発経験の少ない若手エンジニアの研修などに活用されている。
ただ今、「KENRO」では、メールアドレスの登録だけで無料・期間無制限のトライアルを実施しておいる。詳細は上記URLを参照。
- ソフトウェアサプライチェーンを守る「Shisho Cloud」(シショウクラウド)(URL: https://shisho.dev/jp )
Policy as Codeのような、現代のIT技術者にとってよりフレンドリーなアプローチを取り入れた形で、ソフトウェアの開発から提供までの一連のプロセス(ソフトウェアサプライチェーン)の安全を守る、開発者向けのセキュリティプラットフォーム。セキュリティオペレーションのコストを最適化し、ソフトウェアサプライチェーン全体のリスク管理をサポートする。
その他、診断 × NFTの情報はこちら!