本案件では、用意していただいた診断環境にて機密ファイルを想定したダミーファイルの取得が可能であるかという観点にて診断させていただきました。
Dockerを利用したコンテナ環境に対するペネトレーションテストとなり、クライアント様のご希望によりソースコードを参照した状態で診断を行うホワイトボックステスト形式にて行いました。ホワイトボックステストではソースコードを参照することが可能なため、高精度で脆弱性を発見することが可能となります。
本診断ではDocker間の通信部分の処理にRCE(リモートコード実行)の脆弱性が存在したため、一般ユーザーが機密ファイルを奪取可能であることが判明いたしました。
診断レポートや脆弱性診断報告会にてクライアント様に、具体的な攻撃手法や対策方法に至るまで詳細にお伝えいたしました。RCEと呼ばれる非常に緊急度の高い脆弱性により機密ファイルの奪取が可能であることをリリース前に発見することができたため、クライアント様には満足していただきました。