平素より弊社サービスをご利用いただき誠にありがとうございます。
このたび、以下機能を追加いたしましたので、ご案内いたします。
- 複数のクラウドサービスのスキャンルールを追加
- Cloud Firestore
- Firebase Storage
- Google Identity Toolkit API
- レポートのダウンロード言語を選択できる機能を追加
この機能は、AeyeScanをご契約中のすべてのアカウントが利用できます。
複数のクラウドサービスのスキャンルールを追加
背景
AeyeScanでは、OSやミドルウェアだけでなく、クラウドサービスの設定ミスにより生じる脆弱性も検出対象としております。今回のリリースでは新たに、Cloud Firestore、Firebase Storage及びGoogle Identity Toolkit APIの設定ミスに起因する問題を検出可能なスキャンルールを追加いたしました。
詳細は以下の通りです。
- Cloud Firestoreにおけるドキュメントのリスト機能の公開
Cloud Firestoreとは、Google Cloudが提供するデータベースサービスです。
ドキュメントのリスト機能が公開されている場合、データベース内のドキュメントを介して機微情報が漏洩する危険性があります。 - Firebase Storageにおけるファイルのリスト機能の公開
Firebase Storageとは、Google Cloudが提供するモバイルおよびウェブアプリケーションの開発プラットフォームであるFirebaseが提供するクラウドストレージサービスです。
ファイルのリスト機能が公開されている場合、ストレージ内のファイルを介して機微情報が漏洩する危険性があります。 - Google Identity Toolkit APIにおけるサインアップ機能やメール列挙機能の公開
Identity Toolkit APIとは、Google Cloudが提供するユーザ管理サービスであるGoogle Identity Platform上でユーザ認証や管理を行うためのAPIです。
サインアップ機能が公開されている場合、外部の第三者がAPIでユーザを新規登録でき、アプリケーション上で開発者の想定していない処理を実行されてしまう危険性があります。
また、メール列挙機能が公開されている場合、不正ログインの難易度が下がる危険性があります。
機能概要
スキャンルールセット「WEBアプリケーションスキャン」を利用して診断する場合は、自動で本スキャンルールも適用されるため、お客様での対応は不要です。
※作成済のカスタムスキャンルールセットには自動で追加されないため、カスタムスキャンルール作成済みの場合は、お客様にて本スキャンルールを追加いただく必要があります。
レポートのダウンロード言語を選択できる機能を追加
背景
AeyeScanでの巡回・スキャン結果は、様々な形式でレポート出力が可能です。 GUIの表示言語に応じて、日本語・英語のいずれかがダウンロードできる仕組みを提供しておりましたが、この度新たにダウンロード言語を選択できる機能を追加いたしました。
本機能のリリースにより、外部ドメイン一覧、詳細ログ込みスキャン結果一覧において、GUIの表示言語設定を変更することなく、日本語版、英語版両方のレポートをダウンロードできるようになります。
機能概要
スキャン情報の[スキャンメニュー] > [スキャン結果(一覧)] > [レポートダウンロード]よりダウンロードできます。
リリース日
2024年6月22日(土)
最後に
AeyeScanはさらなる精度の向上と新たな価値の提供を目指し、今後も機能追加・改善に努めてまいります。
本アップデートについてご不明な点がございましたら、info@aeyesec.jp までご連絡ください。