セキュリティ

Wink セキュリティ概要ドキュメント

最終更新日: 2024年9月7日

バージョン 1.0

ユーザーデータの保護とセキュリティへの継続的な取り組みの一環として、当社はウェブアプリケーションに対して定期的にペネトレーションテストを実施しています。本ドキュメントでは、テスト手法の概要、結果の要約、および継続的なセキュリティ改善へのアプローチを説明します。

新しいレポートが作成された場合や重要な変更があった場合に、本ドキュメントは更新されます。

対象ドメイン:
*.wink.travel
*.trippay.io

ペネトレーションテストは年に一度実施しており、アプリケーションやインフラストラクチャに大きな更新があった場合には追加のテストを予定しています。この定期的なテストにより、進化する脅威に先んじて対応し、安全な環境を維持しています。

当社のペネトレーションテストは包括的であり、以下を含む幅広いセキュリティ側面をカバーしていますが、これに限定されません:

OWASP Top 10: インジェクション、認証の破損、クロスサイトスクリプティング（XSS）など、最も重大なセキュリティリスクを重点的にテストしています。
ブラックボックスおよびグレーボックステスト: 範囲に応じて、外部および内部の攻撃シナリオをシミュレートするためにこれらの手法を活用しています。
自動および手動テスト: Burp Suite Proという主要なセキュリティテストツールを使用し、自動スキャンと手動テストを組み合わせて複雑な脆弱性を特定し、可能な限り広範囲にカバーしています。特定の脆弱性検出には、SQLmapなどの専門ツールも使用しています。

直近のペネトレーションテストレポートの概要は以下の通りです:

詳細な結果については、完全なレポートをご参照ください。

発見された脆弱性はいずれもクリティカルと評価されており、両方とも重大な財務的影響を及ぼす可能性がありました。1つ目は悪意のある認証済みユーザーが他社のTrippay決済アカウントを操作できるものでした。2つ目は悪意のあるユーザーが予約に必要な支払金額を変更できるものでした。

特定された脆弱性に対して以下の対応を行いました:

ペネトレーションテストは、当社の継続的なセキュリティ改善戦略の一部です。各テストの結果はセキュリティポリシーの策定、開発手法への反映、セキュリティアーキテクチャの強化に活用されています。

ペネトレーションテストは、様々なプロジェクトや業界で豊富な経験を持つ社内の専門家が実施しています。最新のツールと手法を用いて、最新のセキュリティ脅威に対して徹底的にテストを行っています。

当社はユーザーおよび関係者のために安全なアプリケーション環境を維持することに専念しています。継続的なセキュリティテストと改善への取り組みは、進化する脅威からの保護に対する当社のコミットメントを示しています。

新しいペネトレーションテストレポートが発行され次第、本ドキュメントは継続的に更新されます。完全なレポートへのアクセスをご希望の場合は、以下のメールアドレスまでお問い合わせください。今後の更新には、新たに特定された脆弱性、修正状況、テスト手法の調整が含まれます。

ご質問は [email protected] までご連絡ください。