GMOサイバーセキュリティ byイエラエ、WebアプリやIoT機器への“悪意のあるコード”混入をチェックする「バックドア診断」を開始

2025.6.10

GMOインターネットグループでサイバー攻撃対策事業を展開するGMOサイバーセキュリティ byイエラエ（以下、イエラエ）は、ホワイトハッカーがシステムやネットワークの脆弱性を確認する「ペネトレーションテスト」のオプションサービスとして「バックドア診断」の提供を開始しました。

バックドアとは外部からの不正アクセスを可能にするために、ソフトウェアやハードウェアに意図的または不正に組み込まれた侵入手段のこと。WebアプリケーションやIoT機器を対象に、“悪意のあるコード”が混入していないかをホワイトハッカーがチェックします。

バックドアへの脅威が増えて調査ニーズも高まる

近年のサイバー攻撃動向としてサプライチェーンを悪用した侵入手口が増加しています。IPA（情報処理推進機構）が発表した、個人と組織に関する「情報セキュリティ10 大脅威 2024」では、「サプライチェーンの弱点を悪用した攻撃」が組織分野の2位にランクインしています。実際に、取引先から導入したソフトウェアの脆弱性を悪用され、バックドア型マルウェアを埋め込まれたケースが確認されています。このような事例を踏まえ、システム内部に仕掛けられた「バックドア」への関心・調査ニーズが高まっています。

2022年5月に成立した「経済安全保障推進法」に関連して、2023年4月には「基幹インフラ役務の安定的な提供の確保」に関する基本指針が閣議決定され、2024年5月に制度の運用が開始されました。

「基幹インフラ役務の安定的な提供の確保」の制度においては、基幹インフラ役務を提供する特定社会基盤事業者が特定重要設備の導入や重要な維持管理等を委託しようとする際に、事前に届出を行い・審査を受けるよう定められました。特定社会基盤事業者は届出項目の中で、特定重要設備に悪意のあるコード等が混入していないかを確認する受入検査やその他の検証体制を構築すること、および脆弱性テストを設備導入前までに実施することなどが求められています。

ホワイトハッカーの知見を活用したバックドア診断を実施

イエラエが培った、WebアプリやIoT機器に対する攻撃者目線のソースコード解析やリバースエンジニアリング、動的解析などのノウハウを活用し、バックドアの設置や悪意のあるコードの混入をホワイトハッカーが自ら調査します。

今回のバックドア診断サービスのきっかけは、複数の金融系の顧客から、取引先からの納品物の受入テストの項目として「バックドアの設置有無の調査」を相談されたことでした。本サービスの価格は、ソースコードの量や診断工数などの要件により変動するため個別対応となります。

バックドア診断　診断項目例

バックドア診断でソースコードに基づいた調査を行う場合、以下の観点に沿ってソースコードを確認します。またテスト対象の機器・システムの種類や関連する各種業界規制などに基づいたカスタマイズも可能です。

1．設計・仕様書との乖離確認
・仕様書に存在しないAPI：仕様書に存在しないAPIが実装されているかを確認
・仕様書に存在しないリクエストパラメータ：仕様書に存在しないリクエストパラメータが定義されているかを確認
・仕様書に存在しない公開サービス：仕様書に存在しないサービスが外部に公開されていないかを確認し、ソースコード上からポートリッスンしている箇所を確認

2．バックドアになり得る処理の有無
・OSコマンド実行や動的コード実行：OSコマンド実行や動的なコード実行（例: eval）を行っている箇所や前後に、不自然な処理内容が存在しないかを確認
・アウトバウンド通信（通信処理）：通信を行っている箇所や前後に、不自然な処理内容が存在しないかを確認
・設定値の動的な変更：セキュリティとして重要な値やアプリケーションの設定値等が動的に変更されている箇所の確認し、設定値の内容を確認

3．適切なデータ保護や管理方法の確認
・脆弱な暗号化やハッシュ：脆弱な暗号化アルゴリズムやハッシュアルゴリズムが使用されていないか、また、不適切な利用方法が存在しないかを確認
・平文通信：平文通信の有無を確認して、中間者攻撃に対して脆弱でないかを確認
・認証情報や個人情報等のログ出力：認証情報や個人情報等のログ出力が行われていないかを確認

4．悪意のある文字列の埋め込みの確認
・意図しない認証情報の埋め込み：ソースコード内に認証情報がハードコードされているかを確認
・アウトバウンド通信（外部FQDNや外部IPアドレス）：外部通信され得る外部FQDNや外部IPアドレスがソースコード内に存在しないかを確認
・難読化された文字列：Base64などのエンコードによって、難読化された文字列が存在しないかを確認

5．脆弱性の有無の確認
・脆弱性の有無の確認：ソースコードを確認し、各観点での脆弱性を調査

対象サービス

・Webペネトレーションテスト
https://gmo-cybersecurity.com/service/assessment/pentest/
・IoTペネトレーションテスト
https://gmo-cybersecurity.com/service/assessment/iot/

イエラエサイバーセキュリティ事業本部高度診断部部長の白木光達氏は、今後の展開について次のようにコメントしました。

「イエラエは、経済安全保障の重要性が一層高まる中、オフショア開発やアウトソーシングの拡大に伴い増大するソフトウェアのサプライチェーンリスクへの対応として、各種システムや機器に潜在するバックドアの検出・排除を目的とした診断サービスを開始しました。

国内外のセキュリティコンテストで上位入賞実績を持つホワイトハッカーを中心に、ペネトレーションテストで培ったソースコード解析やリバースエンジニアリングといった高度な技術を駆使しています。これらの技術によって悪意あるコードや不審な挙動を検出・特定することで、システムの信頼性向上に貢献してまいります。

今後も、グローバルで通用する技術力と知見を基に、各種システムの安全かつ安定した運用や、基幹インフラ役務の安定的な提供を支援し、安心・安全なデジタル社会の実現に向けて尽力してまいります」（白木氏）

イエラエのバックドア診断サービスは、システム運営を行う日本企業に対し、潜在的なセキュリティリスクを低減し、安心な運営環境を提供します。特に、サプライチェーンリスクが高まる中、外部からの不正アクセスを防ぐための重要な手段となるでしょう。

このサービスは、ホワイトハッカーによる高度な解析技術に基づき、悪意あるコードの検出や脆弱性の特定を行い、企業の信頼性を向上させます。結果として顧客や取引先からの信頼を獲得し、競争力の強化につながるため、企業の成長を支える重要な要素として機能することが期待されます。

安蔵靖志

Techジャーナリスト／家電エバンジェリスト
家電製品協会認定　家電製品総合アドバイザー（プラチナグレード）、スマートマスター。AllAbout デジタル・家電ガイド。ビジネス・IT系出版社を経てフリーに。デジタル家電や生活家電に関連する記事を執筆するほか、家電のスペシャリストとしてテレビやラジオ、新聞、雑誌など多数のメディアに出演。KBCラジオ「キャイ～ンの家電ソムリエ」にレギュラー出演するほか、ラジオ番組の家電製品紹介コーナーの商品リサーチ・構成にも携わっている。