Critical
企業A / コーポレートサイト
古い CMS プラグインに既知の任意コード実行の脆弱性
更新が止まっていた CMS プラグインに、公開済みの任意コード実行(RCE)の脆弱性が残っていました。 レポートで該当 CVE と修正手順を提示し、対象プラグインの除去と代替プラグインへの移行を推奨。 再点検オプションで修正の有効性を確認しました。
レポートサンプル
どんな
どんな
レポートが届くか
実際の診断レポートの構成と、匿名化した診断事例を公開しています。
申し込み前にアウトプットを確認できます。
レポート構成(標準)
診断完了後、50〜200ページ規模のPDFをマイページから提供します。標準的な構成は次のとおりです。
サマリー
重大度別の検出件数、ビジネスへの影響、推奨される対応優先度をまとめた経営層向けの要約セクションです。
診断範囲と実施項目
実際に確認した観点・対象URL・使用したツールとバージョンを明示します。
検出した問題(脆弱性詳細)
1件ごとに重大度、再現手順、影響、参考CVE/CWE、推奨対策を記述します。
推奨対策と参考情報
優先的に対応すべき項目と、参照すべき公式ドキュメント・ベンダー情報を案内します。
サンプルレポートのPDF全体は、攻撃手法や検出ノウハウが含まれるため公開していません。 ご希望の場合はお問い合わせより個別にご案内します。
重大度の判定基準
| 重大度 | 説明 |
|---|---|
| Critical | 攻撃者がシステム全体を侵害できる。即時対応が必要。 |
| High | 重要データの漏洩や権限昇格につながる。早期対応推奨。 |
| Medium | 条件付きで攻撃が成立する。計画的な対応を推奨。 |
| Low | 直接の影響は小さいが、改善が望ましい設定や情報露出。 |
| Info | 参考情報。攻撃には直結しないが認識しておくべき内容。 |
参考: CVSS (FIRST) の評価指標を踏まえた独自基準で判定しています。
匿名化した診断事例
実際の診断で検出された問題のうち、企業が特定されないように匿名化した事例を紹介します。
High
企業B / 会員制Webアプリ
他人のIDを指定するだけで参照できる権限制御の欠陥
URLパラメータのIDを書き換えることで、本来アクセス権のない他ユーザーの情報を取得できる 認可制御の不備(IDOR)を検出。サーバ側での権限チェック追加と、 アクセスログ監視の強化を提案しました。
Medium
企業C / 自社ECサイト
セッション Cookie の属性不足と HTTPS 強制の欠落
セッション Cookie に Secure / HttpOnly /
SameSite が設定されていない問題と、HTTP から HTTPS への自動リダイレクトが不完全である点を検出。
Cookie属性の付与と HSTS 設定を推奨しました。
※ 上記はいずれも企業名・URL・固有の構成情報をすべて伏せて掲載しています。 実際のレポートでは、再現手順や詳細なリクエスト/レスポンスも含まれます。