スマートコントラクト脆弱性診断サービス

脆弱性の診断はお済ですか？

スマートコントラクトは常に攻撃者に狙われており、脆弱性が存在すると不正な操作をされてしまう危険性があります。
世界第2位の取引量を誇るEthereum（イーサリアム）でも、スマートコントラクトの脆弱性を突かれ、
仮想通貨が大量に流出したという事件もありました。スマートコントラクトは常に攻撃者に狙われており、脆弱性が存在すると不正な操作をされてしまう危険性があります。世界第2位の取引量を誇るEthereum（イーサリアム）でも、スマートコントラクトの脆弱性を突かれ、仮想通貨が大量に流出したという事件もありました。

脆弱性があった場合の脅威

スマートコントラクトの主な脅威

・トランザクションからの情報取得（データ漏洩）
・不正にな関数読み出しによるデータ改竄
・不正な仮想通貨の引き出し
・トランザクションの実行順序の操作によるデータの不正操作
・実行結果の操作

ブロックチェーン上に流してしまうと変更ができない

従来のシステムよりもリリース前の脆弱性が重要

スマートコントラクトは1度ブロックチェーン上に反映してしまうと修正が困難なため、従来のアプリケーションやシステムよりも、如何にリリース前に脆弱性を検出し、対策を打てるのかという点が重要なポイントになります。

診断後の対策を丁寧に説明する脆弱性診断サービスです！

脆弱性診断の目的は、脆弱性を検出し、その後に適切な対応を行うことです。Foreの脆弱性診断サービスでは、スマートコントラクトに潜む脆弱性を発見し、必要な対策方法を具体的にご説明します。

サンプルレポートを請求

脆弱性診断の「サンプルレポート」を事前にご覧いただけます！

診断の流れ

お問い合わせからレポートのご提出までスピーディーに対応いたします。
ヒアリングから診断まで最短2～3週間で診断が可能です。お問い合わせからレポートのご提出までスピーディーに対応いたします。ヒアリングから診断まで最短2～3週間で診断が可能です。

STEP1
ヒアリング

お客様からヒアリング（2～3営業日）

セキュリティエンジニア（審査員）から診断内容、診断対象、ご要望をヒアリングさせていただきます。

STEP2
計画／設計

診断の計画と設計（1週間）

ヒアリングした内容を基に、診断計画・診断シナリオを策定します。

STEP3
実施

脆弱性診断を実施（1～2週間）

事前に内容をご確認いただいた後に、診断計画・診断シナリオを基に脆弱性診断を実施します。

STEP4
診断レポート

診断結果を基に評価判定

検出された脆弱性の内容（エビデンス）、脅威、対策をレポートに纏めてご提出します。

STEP5
改修

脅威の対策を実施

レポートを基にお客様の方で対策を実施いただきます。診断レポート後の1ヶ月間は技術的な質問にご回答します。

サービス詳細や料金についてのご質問
ご相談などお気軽にお問い合わせください。

資料請求・お問い合わせ

診断内容

スマートコントラクトに習熟した専属の審査チームが
静的分析、動的分析（自動テスト）、詳細レビューで総合的に分析いたします。スマートコントラクトに習熟した専属の審査チームが静的分析、動的分析（自動テスト）、詳細レビューで総合的に分析いたします。

静的分析

Static analysis

コードは実行せずに、スマートコントラクトにおいて以下の内容を分析します。

●コード規約の問題　●コンパイラのバグ関連の問題　●ガスの最適化の機会　●トークン規格の準拠 ●既知のエラー（Known error）の調査　リエントラント攻撃／デリゲート攻撃／整数オーバーフロー攻撃／整数アンダーフロー／外部コール／未確認の所有権移転／RLO（Right-to-Left Override）／弱ランダム性のリスク／TxOriginの誤用／戻り値のチェック漏れ／多重継承／VarTypeの控除／初期化／シャドウ変数／演算順など

動的分析／自動テスト

Automated Testing

セキュリティの脆弱性が存在するかどうかを判断するために、自動化されたテストツールと手動テストを組み合わせてスマートコントラクトとの様々なな相互作用をシミュレーションします。
自動テストでは主に以下の項目をチェックします。

●コードカバレッジ　●アサーションの失敗

詳細レビュー

In-Depth Manual Review

スマートコントラクトを動作させながら以下の内容を分析します。
●アルゴリズムの正確性　●トークン規格の準拠　●ビジネスロジック ●その他の主要ロジックの問題　●高度な修復　●保有資格者：数十名　●保有資格：・CISA:Certified Information Systems Auditor／・CISM ：Certified Information Security Manager／・CISSP：Certification for Information System Security Professional

サービス内容

漸弱性や問題の特定に留まらず、
対策方法の提供やガス効率の最低化までご提案させていただきます。漸弱性や問題の特定に留まらず、対策方法の提供やガス効率の最低化までご提案させていただきます。

問題の解決

Resolution of Issues

静的分析、動的分析、詳細レビューで見つかった脆弱性コードのセキュリティに推奨事項を提供し、またそのガス効率を最適化します。

診断報告書の提出

Report

脆弱性の検出項目一覧、脅威レベル（危険度）と対策を纏めた診断報告書をご提出いたします。

再診断

Re-diagnosis

診断レポート内の対策行った箇所について、再度脆弱性の診断を実施いたします。

※レポート提出から1ヶ月以内

サービス詳細や料金についてのご質問
ご相談などお気軽にお問い合わせください。

資料請求・お問い合わせ

料金

料金はお客様から診断内容をヒアリング後にお見積もりにてご提示しております。
詳細なお見積もりについてはお気軽にお問い合わせください。料金はお客様から診断内容をヒアリング後にお見積もりにてご提示しております。詳細なお見積もりについてはお気軽にお問い合わせください。

お見積もり例 1：仮想通貨取引プラットフォームお見積もり例 1：
仮想通貨取引プラットフォーム

ステーブルコインを取り扱う仮想通貨取引所の
スマートコントラクトを対象とした診断ステーブルコインを取り扱う仮想通貨取引所のスマートコントラクトを対象とした診断

お見積り金額：170万円

診断内容

●静的分析 ●動的分析／自動テスト ●詳細レビュー ●ガス最適化

診断期間

3週間

再診断

なし

お見積もり例 2：ブロックチェーンゲームお見積もり例 2：
ブロックチェーンゲーム

ブロックチェーンを活用した
ゲーム内で利用するスマートコントラクトを対象とした診断ブロックチェーンを活用した、ゲーム内で利用するスマートコントラクトを対象とした診断

お見積り金額：230万円

診断内容

●静的分析 ●動的分析／自動テスト ●詳細レビュー ●レポート説明

診断期間

4週間

再診断

あり（計2回）

よくある質問

Q申込みから診断終了までどのくらいの時間がかかりますか？

Aヒアリング内容により多少変動いたしますが、実績平均で10～15営業日で診断させていただいております。

Qアクセス制限のある環境に対しても診断を行っていただく事はできますか？

AIPアドレスなどでアクセス制限をかけている場合は、当社からのアクセスに対して許可をお願いいたします。
また、その他防御装置が実装されている場合も、診断中のみ当社IPアドレスへのブロックを解除頂くようお願いいたします。

Qどのような方法で診断しますか？

A主に海外で利用されているスマートコントラクトのセキュリティプラクティスを基に、弊社独自の診断項目を設定して診断いたします。
また、解析は技術者が目視ならびに手動で解析する静的解析と、脆弱性スキャナによる動的解析の双方で審査いたします。

Q診断可能なプラットフォームや言語は？

A診断可能な言語はGo、Java、Solidityです（その他言語に関しては応相談）。

資料請求・お申し込み

資料の請求、請求代行やトライアルのお申込みは以下フォームよりお気軽にお問い合わせください。資料の請求、請求代行やトライアルのお申込みは以下フォームよりお気軽にお問い合わせください。

会社名 ※必須

お名前（姓） ※必須

お名前（名） ※必須

メールアドレス ※必須

電話番号 ※必須

ご希望のプラン（複数選択可）
セキュリティのご相談お見積り資料請求サンプルレポートその他

その他

利用規約

下記の「プライバシーポリシー」に基づき、お客様の個人情報を取り扱います。
お客様が、「Foreサービス」（以下「本サービス」といいます）のご利用をされるためには、下記の「プライバシーポリシー」を熟読のうえ、内容に同意していただく必要があります。同意いただけない場合は、本サービスへのアクセスおよび本サービスのご利用はお断り致します。

「プライバシーポリシー」当社では、ごお客様の皆様が安心してご利用頂けるよう、頂いた個人情報の保護について最大限の注意を払っています。個人情報保護についての考え方は以下の通りです。

個人情報の利用目的について
当社ではお客様により登録された個人及び団体や法人の情報については、当社においてサービスの向上やご連絡に利用し、お客様個人情報の保護に細心の注意を払うものとします。
本サービスに関する各種事項の連絡や情報提供を行うため
本サービスを提供するため
本サービスに関するご請求、お支払いとその確認をするため
本サービス運営上のトラブルの解決のため

個人情報の利用情報について
利用情報とは、本サービスの利用に関する以下の情報をいうものとします。
お客様がご利用になった本サービスの内容、ご利用日時、ご利用回数、本サービス利用時の挙動などの利用内容・履歴・状況に関する情報
お客さまの位置情報
お客様が本サービスに掲載・発信した投稿、写真、動画、コメント、評価その他の情報
お客様の本サービスでの決済状況に関する情報

個人情報の管理について
本規約に明記された、目的以外の利用は致しません。社内では個人情報には最善の注意を図り取り扱いをさせて頂きます。

個人情報の開示について
当社ではお客様の皆様に商品の発送やご連絡するために、お客様の幾つかの個人情報が必要となります、収集された個人情報は当社のサービスを提供するために必要な限度においてのみ利用し、次の場合を除き、いかなる第三者にも提供致しません。
お客様の同意がある場合
お客様から個人情報の利用に関する同意を求めるための連絡をする場合。
お客様に対し、当社、または、当社の業務提携先等の広告宣伝のための電子メール、ダイレクトメールを送付する場合。
当社におけるお客様の行為が、当社方針・告知、当社の利用規約等に違反している場合に、他のお客様、第三者または当社の権利、財産を保護するために必要と認められる場合。
裁判所、行政機関の命令等、その他法律の定めに従って個人情報の開示を求められた場合。
または犯罪の捜査、第三者に対する権利侵害の排除若しくはその予防として必要な場合。
その他これに準ずる必要性ある場合。

個人情報利用の同意
お客様は、当社に対し、個人情報を前記に定める方法で利用することに付き、あらかじめ同意頂いたものとし、異議を述べないものさせて頂きます。 お客様向け特別サービスなど、事業的な理由がある場合。
統計資料作成、市場調査、データ分析などを行う場合、必要最低限の個人情報を利用します。
（例：性別）

免責・注意事項
当社は、本サービスのリンクされている他の事業者または個人のウェブサービスにおけるお客様の取得情報等の保護に関しまして、一切の責任を請け負いません。お客様ご自身にて当該サービスの内容をよくご確認の上で、閲覧およびご利用をお願いします。 ハッカー等による不当行為により、お客様および第三者に損害が生じた場合に関しましては、当社は一切の責任を請け負いません。
お客様に対して、ご本人確認をするための情報につきましては、お客様自身での厳重な管理をお願いいたします。
未成年のお客様の情報について

お客様が未成年者の場合は、ご両親、保護者または後見人の方（以下「保護者様」といいます）がプライバシーポリシーおよび利用規約等の内容に同意され、お客様がプライバシーポリシーおよび利用規約等に基づき本サービスをご利用いただくことについて包括的に同意されることが必要となります。

海外からのアクセスについて
本サービスの利用、管理、運用方法および掲載内容が不適切または違法とされる国または地域からの本サービスへのアクセスはご遠慮下さい。

プライバシーポリシーの改善および最新のプライバシーポリシーの確認について
当社はプライバシーポリシーに関して、適宜その改善に取り組みます。お客様は、本サービスにアクセスするか当社サービスご利用前に、必ず最新のプライバシーポリシーをご確認ください。お客様が本サービスにアクセスされるか当社のサービスをご利用になられた場合は、最新のプライバシーポリシーの内容に同意されたものとみなします。

個人情報の開示・訂正・利用停止等の手続について
お客様は、個人情報保護法に従い、個人情報の開示、訂正、利用停止等を求めることができます。

問い合わせ先
個人情報についての考え方についてご不明な点などございましたら、メールでお問い合わせください。
アドレス：fore-info@fore-co.ltd

利用規約に同意する