Flatt Securityは2022年10月25日、ブロックチェーン関連サービスのセキュリティリスクを検証する「ブロックチェーン診断」を発表しました。セキュリティエンジニアが診断し、開発者向けに脆弱性のリスクや対策をまとめたレポートを提供します。
「ブロックチェーン診断」は、ブロックチェーンやスマートコントラクト自体のセキュリティリスクを診断するサービス。NFTや暗号資産(仮想通貨)、DeFi(分散型金融)、メタバースといったブロックチェーンを活用したWeb3関連サービスの開発や実装を支援します。
Webアプリケーションの脆弱性を検証する「Webアプリケーション診断」と組み合わせて使うことで、サービスのバックエンドとなるブロックチェーン部分と、フロントエンドとして機能するWebアプリケーション部分双方のセキュリティリスクを洗い出すことが可能です。
図1:フロントエンドとバックエンドシステムのセキュリティリスクを診断可能
via flatt.tech
なお、「ブロックチェーン診断」「Webアプリケーション診断」とも、豊富な診断実績を持つセキュリティエンジニアが診断し、開発者に脆弱性のリスク・対策レポートを提供します。
「ブロックチェーン診断」で指摘する主な脆弱性と、その脆弱性による想定リスクは次の通りです。
・スマートコントラクト内の不正な反復・連続処理が生じる脆弱性
想定リスク:第三者の口座への暗号資産の転送が不正に連続して行われる ・ブロックチェーン内の取り引きが実行される前に内容を閲覧された場合、攻撃者に有利な取り引きが可能となる脆弱性
想定リスク:NFTオークションで第三者の入札額を取り引き実行前に閲覧された場合、攻撃者に有利な取り引きが成立してしまう ・その他のロジック不備
想定リスク:アイテムや暗号資産などの盗難・流出 「Webアプリケーション診断」で指摘する主な脆弱性と、その脆弱性による想定リスクは次の通りです。
・認証・認可、決済などの重要な機能のロジック不備
想定リスク:Web3関連サービス内でのなりすまし、アイテムや暗号資産などの不正取得 ・XSSやSQLインジェクションなどの典型的な脆弱性
想定リスク:ユーザーの個人情報や決済情報などの漏洩
想定リスク:第三者の口座への暗号資産の転送が不正に連続して行われる ・ブロックチェーン内の取り引きが実行される前に内容を閲覧された場合、攻撃者に有利な取り引きが可能となる脆弱性
想定リスク:NFTオークションで第三者の入札額を取り引き実行前に閲覧された場合、攻撃者に有利な取り引きが成立してしまう ・その他のロジック不備
想定リスク:アイテムや暗号資産などの盗難・流出 「Webアプリケーション診断」で指摘する主な脆弱性と、その脆弱性による想定リスクは次の通りです。
・認証・認可、決済などの重要な機能のロジック不備
想定リスク:Web3関連サービス内でのなりすまし、アイテムや暗号資産などの不正取得 ・XSSやSQLインジェクションなどの典型的な脆弱性
想定リスク:ユーザーの個人情報や決済情報などの漏洩
あわせて読みたい編集部オススメ記事
CodeCamp、ブロックチェーン技術を用いたオープンバッジ発行でDX人材のスキルを見える化 – DXマガジン
ビジネスイノベーション事業を展開するフューチャーは2022年3月3日、グループ会社のコードキャンプが、運営する「CodeCamp」においてブロックチェーン技術を用いたオープンバッジ(スキル証明)を発行すると発表しました。CodeCampは、コードキャンプが提供する、オンラインのプログラミング個人レッスンです。最初の取り組みとして、2022年3月28日より開始する「ITエンジニア向けキャリアアップ講座」(CodeCampNEXT)の修了生に対し、スキル証明の発行を予定しています。それにより、IT・DX人材のスキルの可視化や、企業の人材水準の見える化を目指します。
インテリジェント ウェイブの不正検知ソリューション、不正検知の精度向上にAIエンジンを採用 – DXマガジン
インテリジェント ウェイブは2021年9月28日、不正検知ソリューション「FARISスコアリングサービス」にAI技術を採用したことを発表しました。AI技術を使い、不正検知精度向上やAIチューニング負荷軽減に関する実証実験に成功したことを受け、導入します。米国のAIセキュリティベンチャーであるRobust IntelligenceのAIエンジン「RIME」を採用しました。
