※2025/4/12のリリースより、AeyeScanのUIデザインを変更いたしました。
各記事の画面やキャプチャにつきましては随時更新を行っておりますが、更新が完了する間、
お手元の画面に差が生じますこと、ご了承いただけますと幸いです。
AeyeScanで脆弱性診断を始めるにあたって、事前に前提条件や注意事項の確認、対象システムの設定変更、関係者への周知を行います。
| 目次
|
1.許可を得ていない環境に対してAeyeScanを使用しないこと 4.CAPTCHA認証、多要素認証、reCAPTCHAなどの解除
|
ご利用いただくにあたっての前提
1.許可を得ていない環境に対してAeyeScanを使用しないこと
AeyeScanでは診断対象のシステムに対して、疑似的な攻撃を行います。
許可を得ていない環境に対して使用した場合、不正アクセスと見なされる恐れがありますのでご注意ください。
2.ドメインアクティベーションの準備
ドメインアクティベーションとは、診断対象システムがお客様所有のものであることを確認するための手続きです。
設定方法は、「Step4ドメインアクティベーション」をご参照ください。
※アクティベーションスキップのオプションが有効な場合、本作業は不要です。
3.巡回可能な条件を確認する
診断対象のシステムが、以下条件に合致していることをご確認ください。
- インターネット経由でアクセスが可能
- 最新版のGoogle Chromeからアクセスが可能
- 入力フォームは日本語または英語に対応
- 各種Web認証を使用していない、あるいは一時的に解除できる
- 通信規格にWebSocketを使用していない
詳細は、以下の記事をご参照ください。
https://www.aeyescan.help/hc/ja/articles/37804927175193
注意事項
1.脆弱性診断は開発環境あるいはステージング環境で実施
AeyeScanはサーバーやサービスを意図的に停止させるような操作は行いませんが、アプリケーションの設計やサーバーのスペックによってはCPU負荷が上昇したり、サーバーやサービスが一時停止したりする可能性があります。
特別な理由がない限りは本番環境ではなく、開発環境やステージング環境での診断を推奨しています。
※サーバーへの負荷はおおよそ10リクエスト / 1秒です。
2.診断の実施を望まない機能の除外設定
本番環境での診断が避けられない場合などで、<例>のような診断による影響を懸念される場合、該当機能での巡回・スキャンを除外することができます。
設定方法は、以下の記事をご参照ください。
https://www.aeyescan.help/hc/ja/articles/37804927175193
<例>
| 診断対象機能 | 懸念事項 |
| ECサイトの商品を購入する機能 | 大量の商品を購入する可能性 |
| ユーザーアカウントなどデータを削除する機能 | 登録済みのアカウントを削除する可能性 |
| メール送信を伴うお問い合わせ機能 | 大量のメールが送信される可能性 |
| SNS、掲示板などの書き込み、データの登録機能 | 不正な文字を大量に登録する可能性 |
| ファイルのアップロード機能 | 大量のファイルが作成される可能性 |
3.バックアップの取得
診断により、対象システムのデータが変更される可能性があるため、システムやデータのバックアップを取得することを推奨しております。
対象システムの設定変更
1.IPS / IDSやWAFでのAeyeScan除外設定
※IPS/IDS=不正侵入検知・防御システム、WAF=Webアプリケーションファイアーウォール
対象システムにおいて送信元の通信を遮断するような機器を導入されている場合、アラートが大量に発生し、診断結果が正しく取得できない可能性があります。
事前にAeyeScanのアクセス元IPアドレスを除外設定するようお願いいたします。
※設定方法は、以下の記事をご参照ください
https://www.aeyescan.help/hc/ja/articles/37803082323609
2.連続投稿の禁止制限を解除
フォームの連続投稿の禁止など、スパム投稿を対策されている場合、ご利用サービスのマニュアル等をご確認のうえ、制限を解除してください。
例:スパイラル株式会社様のSPIRAL?の“連続投稿の禁止”解除方法
https://support.smp.ne.jp/manuals/web/form/
3.IPアドレス制限の解除
対象システムにおいて、IPアドレスのアクセス制限をかけている場合は、事前にAeyeScanのアクセス元IPアドレスを除外設定するようお願いいたします。
※設定方法は、以下の記事をご参照ください
https://www.aeyescan.help/hc/ja/articles/37803082323609
4.CAPTCHA認証、多要素認証、reCAPTCHAなどの解除
ツールからのアクセスを拒む仕組みがある場合、診断期間中は機能を外してください。
5.スロットリング機能の解除
大量のアクセスが行われた場合に、処理数を制限するスロットリングの仕組みがある場合、ご利用のサービスのマニュアル等をご確認の上、制限を解除してください。
イーシーキューブ様のEC CUBE®の設定変更方法は下記の弊社技術ブログからも確認可能です。https://qiita.com/AeyeScan/items/42d85984d4a035d26371
関係者への周知
1.脆弱性診断実施の周知
トラブルの未然防止のため、以下を参考に関連部署やシステム管理担当者様に診断実施の周知を徹底するようお願いいたします。
- AeyeScanのIPアドレス
※確認方法は、以下の記事をご参照ください
https://www.aeyescan.help/hc/ja/articles/37803082323609 - 診断日程
- 対象システムにデータ登録 / 更新 / 削除される可能性 等
2.メールの大量送信の可能性
お問い合わせや資料請求など電子メールの送信が伴う機能の場合、診断することで大量(数千件)のメールが送信される可能性があります。
実施の場合は、関係部署へ<周知事項>をご連絡ください。
<周知事項>
- 診断期間中、大量の電子メールが送信される可能性があります。
-
診断によるメールには、問診票(診断前準備チェックシート) の「AeyeScan 診断サイト問診票」内「別紙_入力値一覧」に記載される文字列が含まれます。通常の電子メールと区別される際にご参考ください。
※問診票は、以下の記事よりダウンロードいただけます
https://www.aeyescan.help/hc/ja/articles/37805546084249
3.脆弱性が存在した場合のファイル生成の可能性
診断で脆弱性が発見された場合、以下文字列を含むファイルが作成され、ページレイアウトが崩れる可能性があります。
- aeyescan${ランダムな8桁の数字}.txt
- aeyescan${ランダムな8桁の数字}.php
4.ディスク容量を圧迫する可能性
AeyeScanでは診断対象のシステムに対して、疑似的な攻撃を行うため、Webサーバ、アプリケーション、データベース、メールサーバなどがエラーログを大量に出力する可能性があります。
エラーログが大量(数GB)出力された場合でもディスク容量が不足しないよう、十分な空き容量を確保してください。
また、開発環境等で、必要以上にログを記録する設定になっている場合、ログの取得レベルを変更することもご検討ください。
5.サーバ再起動について
診断中にサーバを再起動すると、診断結果が正しく取得できない可能性があります。
基本的には診断中にサーバ再起動は行わず、どうしても必要な場合は、事前にサポート窓口までご連絡いただくようお願いいたします。
6.フォーム入力値の確認
AeyeScanによる登録フォームへの入力値については、問診票(診断前準備チェックシート) の「AeyeScan 診断サイト問診票」内「別紙_入力値一覧」をご参照ください。
※問診票は、以下の記事よりダウンロードいただけます
https://www.aeyescan.help/hc/ja/articles/37805546084249
スタートガイド Step一覧
|
準備フェーズ
|
|||
 |
 |
 |
 |
|
巡回・スキャンフェーズ
|
結果確認フェーズ
|
||
 |
 |
 |
|