案件管理SaaSURLのIDを書き換えると、
他社の案件が開けてしまった
案件管理のSaaSにおいて、同じアカウントでリクエストのパラメータIDを別の値に書き換えた際に、別の顧客の案件一覧が返却される問題が発覚。
AIでアプリが作れる時代、脅威も多様化する世の中で、
安全な顧客への提供をセキュリティ診断AIが保証します。
※出典:Veracode「2025 GenAI Code Security Report」
出典:IPA「情報セキュリティ10大脅威 2026(組織編)」(2026年1月)
セキュリティ専門家による脆弱性の発見事例
案件管理SaaS案件管理のSaaSにおいて、同じアカウントでリクエストのパラメータIDを別の値に書き換えた際に、別の顧客の案件一覧が返却される問題が発覚。
AIアシスタント搭載SaaS社内向けのAIアシスタント機能において、ユーザーの入力からシステム側の指示を上書きし、権限のない他ユーザーの情報や管理操作を引き出せる問題が発覚。
受託開発・文書要約AI外部から取り込んだ文書をAIが要約する機能において、文書に仕込まれた指示にAIが従い、社内データを外部へ送信できる間接的なプロンプトインジェクションを検出。
検出した指摘は重大度で仕分けし、いまの事業フェーズに合わせて、どれから直すべきかを提案します。リリース直前なら公開を止める級を先に、運用フェーズなら継続監視でよいものと分けます。再現手順と直し方までつけてお返しするので、全部を平らに並べられて、どこから手をつけるか迷う、ということがありません。
OWASP Top 10 や ASVS をもとにした標準的な観点で、ブラックボックス形式で脆弱性を洗い出します。大きく分けると、次のような観点でレビューします。
リリース前に、いまの穴を洗い出したい方へ。
攻撃者の視点で、どこまで侵入できるか試す。
指摘の直し方が分からないときは、開発チームと一緒に修正方針を考えます。診断の範囲をどう決めるか、どこまで継続で回すか。そのあたりの設計から相談に乗ります。監査や取引先への説明が要る場面も、まかせてください。
サポート内容を相談する| 社名 | 株式会社CIVIQ |
|---|---|
| 事業 | AI開発・プロダクト開発 セキュリティ事業(診断・AI利用統制・教育) |
| 所在地 | 東京都目黒区上目黒3-1-10 ヴェルデナポリ203 |