GMOサイバーセキュリティがバックドア診断サービス開始、サプライチェーン攻撃対策強化

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

GMOサイバーセキュリティ byイエラエ株式会社は2025年5月22日、ペネトレーションテストのオプションサービスとして「バックドア診断」の提供を開始した。このサービスは、ホワイトハッカーがWebアプリケーションやIoT機器を対象に、悪意のあるコードが混入していないかチェックするものである。

近年、サプライチェーンを悪用したサイバー攻撃が増加しており、経済安全保障推進法関連の制度運用開始に伴い、基幹インフラ事業者には特定重要設備への悪意のあるコード混入確認が求められている。そのため、システム内部に仕掛けられたバックドアへの関心と調査ニーズが高まっているのだ。

複数の金融系顧客からの要望を受け、同社はこれまで培ってきたWebアプリケーションやIoT機器に対する攻撃者目線のソースコード解析などのノウハウを活用し、このサービスを提供開始した。お見積もりは個別対応となる。

診断項目	実施内容
設計・仕様書との乖離確認	仕様書に存在しないAPI、リクエストパラメータ、公開サービスの有無を確認する
バックドアになり得る処理の有無	OSコマンド実行、動的コード実行、アウトバウンド通信、設定値の動的な変更などを確認する
適切なデータ保護や管理方法の確認	脆弱な暗号化、平文通信、認証情報や個人情報のログ出力などを確認する
悪意ある文字列の埋め込みの確認	意図しない認証情報の埋め込み、外部FQDNや外部IPアドレス、難読化された文字列などを確認する
脆弱性の有無の確認	ソースコードを確認し、各観点での脆弱性の調査を行う

バックドアとは、ソフトウェアやハードウェアに意図的または不正に組み込まれた、外部からの不正アクセスを可能にする手段である。近年増加するサプライチェーン攻撃において、バックドアは重要な脅威となっている。

この診断サービスは、こうした脅威への対策として、ホワイトハッカーによる高度な技術を用いた徹底的な調査を提供するものである。

本サービスは、サプライチェーン攻撃対策として非常に有効であり、企業のセキュリティ強化に大きく貢献するだろう。特に、基幹インフラ事業者にとって、経済安全保障推進法関連の規制への対応において重要な役割を果たす。

しかし、全ての潜在的なバックドアを検出できるわけではない可能性がある。また、診断にかかるコストや時間が課題となるケースも考えられるだろう。そのため、コストとリスクのバランスを考慮した導入計画が必要となる。

今後、AIを活用した自動化による診断精度の向上や、より多様なシステムへの対応などが期待される。さらに、診断結果に基づいた具体的な対策提案なども充実させていくことで、より包括的なセキュリティ対策を提供できるようになるだろう。

^ GMOサイバーセキュリティ byイエラエ株式会社. 「GMOサイバーセキュリティ byイエラエ、ペネトレーションテストの新オプション「バックドア診断」をリリース～ホワイトハッカーがWebアプリケーションやIoT機器を対象に“悪意のあるコード”が混入をしていないかチェック～ | 脆弱性診断（セキュリティ診断）のGMOサイバーセキュリティ byイエラエ」. https://gmo-cybersecurity.com/news/20250522/, (参照 25-05-24).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム