Flatt Securityがブロックチェーン・スマートコントラクトのセキュリティリスクを検証・調査する「ブロックチェーン診断」を提供開始

　「ブロックチェーン診断」では、ブロックチェーンやスマートコントラクト自体のセキュリティリスクを診断することが可能となっており、NFT、暗号資産（仮想通貨）、DeFi（分散型金融）、メタバースをはじめとするブロックチェーンを活用した各種Web3関連サービス開発・実装時に最適な診断メニューとなっています。

　さらに、ブロックチェーンやスマートコントラクトと繋がるWebアプリケーションの脆弱性を検証・調査可能な「Webアプリケーション診断」と組み合わせて利用することにより、サービスのバックエンドとして機能するブロックチェーン部分とフロントエンドとして機能するWebアプリケーション部分双方のセキュリティリスクを確認することが可能です。

■提供開始の背景
　ブロックチェーンは改ざん耐性が高いという特徴を持ち、NFTや暗号資産をはじめとする様々なWeb3関連サービスに活用されています。一方で、その特徴から不正なデータや取引履歴が生じた場合も後から修正することが困難となるため、サイバー攻撃を受けた場合のリスクは、通常のWebサービスより高くなっています。

　これまで、Flatt Securityではセキュリティ診断メニューの1つである「Webアプリケーション診断」において、様々なWeb3関連サービスのWebアプリケーションを対象とした脆弱性の調査・検証を行ってまいりました。昨今のWeb3関連サービスの多様化・普及によるニーズの高まりを受け、この度、ブロックチェーン・スマートコントラクトのセキュリティリスク検証・調査に特化した「ブロックチェーン診断」の提供を開始することといたしました。

　Flatt Securityは、今後も多様化する開発環境・開発者に寄り添い、セキュリティサービスを拡充することで、開発者フレンドリーな専門家集団としてセキュアな次世代プロダクト開発に貢献してまいります。

■「ブロックチェーン診断」について（URL：https://flatt.tech/assessment/blockchain）
　Web3関連サービスのバックエンドとして機能するブロックチェーンやスマートコントラクトのセキュリティリスク調査・検証に特化した診断メニューです。Web3関連サービスのフロントエンドとして機能するWebアプリケーションの脆弱性を調査・検証可能な「Webアプリケーション診断」と組み合わせることで、バックエンドとして機能するブロックチェーン部分とフロントエンドとして機能するWebアプリケーション部分双方のセキュリティリスクを確認することが可能です。

　「ブロックチェーン診断」「Webアプリケーション診断」のいずれにおいても、Web3サービスのみならず、金融やSaaS等の多様な業界・企業に対する豊富な診断実績を持つスキルの高いセキュリティエンジニアが診断を実施し、開発者にもわかりやすい形で脆弱性のリスク・対策をレポートします。

　また、ブロックチェーン・スマートコントラクトに関連するサービスの場合においても「Webアプリケーション診断」のみの利用も可能です。詳細は、お問い合わせください。

＜Web3関連サービスの診断観点（例）＞
【ブロックチェーン診断】

• リエントランシー：スマートコントラクト内の不正な反復・連続処理が生じる脆弱性

（例）第三者の口座への暗号資産の転送が不正に連続して行われる
 

• フロントランニング：ブロックチェーン内取引が実行される前に内容を閲覧された場合、攻撃者に有利な取引が可能となる脆弱性

（例）NFTオークションにおいて、第三者の入札額を取引実行前に閲覧された場合、攻撃者に有利な取引が成立してしまう
 

• その他のロジック不備

（例）アイテムや暗号資産等の盗難・流出

【Webアプリケーション診断】

• 認証・認可、決済等の重要な機能のロジック不備

（例）Web3関連サービス内でのなりすまし、アイテムや暗号資産等の不正取得
 

• XSSやSQLインジェクション等の典型的な脆弱性

（例）ユーザーの個人情報や決済情報等の漏洩

■NFT関連サービスでの診断実施事例（double jump.tokyo株式会社）

　NFT関連事業を展開するdouble jump.tokyo株式会社に「Webアプリケーション診断」をご利用いただき、double jump.tokyoが提供するビジネス向けNFT管理サービス「N Suite」（URL：https://www.nsuite.io/）を対象とした、Webアプリケーションの脆弱性調査・検証を実施いたしました。診断の経緯や概要についてのインタビュー記事を公開しておりますので、以下URLよりご参照ください。

【セキュリティ診断事例インタビュー】double jump.tokyoのNFT管理サービスのセキュリティ診断。他社では難しかった「認可フローを重点的に診断」「gRPC-Web対応」の2要件をクリア
URL：https://flatt.tech/assessment/voice/doublejumptokyo

■ Flatt Securityが提供する「開発者のためのセキュリティサービス」

• セキュリティ診断（URL：https://flatt.tech/assessment/detail ）

　セキュリティエンジニアが、Webサービスやスマートフォンアプリを対象として情報漏洩や不正利用につながる脆弱性がないか調査・検証し、レポーティングするサービスです。「脆弱性診断」とも呼ばれています。Flatt Securityの「セキュリティ診断」は、SaaS提供企業から社会インフラ提供企業、金融機関まで幅広い業界での診断実績を持つ、経験豊富なセキュリティエンジニアが実施します。アプリケーションの実装だけでなく、AWS・GCP・AzureといったパブリッククラウドやFirebaseをはじめとするmBaaSにも幅広く対応しているため、より多角的にリスクを洗い出すことができるのに加え、多様化する開発環境を理解し開発者に寄り添った開発者目線でのフィードバックを提供するのが大きな特徴となっています。
 

• セキュアな設計・開発のための学習プラットフォーム「KENRO」（ケンロー）（URL： https://flatt.tech/kenro ）

　エンジニアがセキュアにWebアプリケーションの設計・開発を行うためのクラウド型学習プラットフォームです。開発経験の少ない若手エンジニアの研修などにご活用いただいています。

　ただ今、「KENRO」では、メールアドレスの登録だけで無料・期間無制限のトライアルを実施しております。詳細は上記URLにてご案内しておりますので、ぜひご利用ください。
 

• ソフトウェアサプライチェーンを守る「Shisho Cloud」（シショウクラウド）（URL： https://shisho.dev/jp ）

　Policy as Codeのような、現代のIT技術者にとってよりフレンドリーなアプローチを取り入れた形で、ソフトウェアの開発から提供までの一連のプロセス（ソフトウェアサプライチェーン）の安全を守る、開発者向けのセキュリティプラットフォームです。セキュリティオペレーションのコストを最適化し、ソフトウェアサプライチェーン全体のリスク管理をサポートします。

■サービスに関するお問い合わせ先
株式会社Flatt Security
お問い合わせフォーム：https://flatt.tech/contact

■会社情報

社名　　　：株式会社Flatt Security（フラットセキュリティ）
代表者　　：代表取締役社長　井手康貴
所在地　　：〒113-0033 東京都文京区本郷3丁目43−16 コア本郷ビル 2A
設立　　　：2017年5月23日
事業内容　：サイバーセキュリティ関連サービス
Webサイト： https://flatt.tech
ブログ　　：https://blog.flatt.tech