暗号通貨取引所 — 外部セキュリティ態勢評価

実行要約

主要な国際的な暗号通貨取引所で、機関向けサービスと規制された資産保管運用を提供する同社に対して、パッシブなリコンnaissanceによる外部セキュリティの露出が評価されました。認証、悪用、または侵入的なテストは実施しませんでした。

評価の結果、分析、詐欺検出、ブロックチェーンインフラストラクチャサービスに使用される第三者APIキーおよび資格情報14件を含む公開可能な構成ファイルが見つかりました。証明書透過性分析により、内部プロジェクトのコードネーム、チーム構造、プレプロダクション環境、銀行パートナーとの統合を明らかにするサブドメイン520以上が特定されました。内部APIエンドポイントが外部からのリクエストに構造化されたエラーメッセージで応答していることが確認され、その存在と運用状況が確認されました。

クライアントプロファイル

業界: 暗号通貨取引所（保管および機関向けサービスを提供）。 規模: 世界トップクラスのグローバルプラットフォームで、複数の司法管轄区域で規制を受けている。 起因: 継続的なポストアセスメントの一環として、主動的な外部セキュリティレビューが実施されました。

チャレンジ

取引所は公開型バグバウンティプログラム、強固なメールセキュリティ（DMARC拒否）、適切に設定されたHSTS、および包括的な権限ポリシーを維持していました。しかし、重要な疑問がありました。攻撃者はシステムに一切触れない状態で外部から何を確認できるか？

アプローチ

CHIMERASCOPEのパッシブインテリジェンスメソドロジーを活用し、この評価は3つの収集ベクトルに焦点を当てました。

公開エンドポイント分析 — 対象のドメインポートフォリオにわたるHTTP応答、ヘッダー、公開されたファイルの検査。 証明書透過性の相関分析 — SSL証明書発行ログの分析によりインフラストラクチャのトポロジーをマッピング。 DNSレコード分析 — 公開DNSからサービス統合と検証レコードの抽出。

主な発見

インフラストラクチャインテリジェンスの抽出

証明書透過性（Certificate Transparency）の分析を通じて、以下のインフラストラクチャインテリジェンスが抽出されました。

4つの内部プロジェクトコードネームが、本番環境、ユーザーアクセプタンステスト（UAT）環境、ステージング環境で使用されている。120以上のプレプロダクションサブドメインが、機能ごとの専用チーム環境（消費者向け、資金調達、セキュリティ、取引、モバイル、マーケティングなど—それぞれに番号が割り当てられている）を明らかにしている。銀行パートナーとの統合がサブドメインの命名パターンから確認できる。KYCプロバイダーとの関係性が専用の統合サブドメインから識別可能。完全な環境トポロジー—本番環境、ステージング環境、UAT環境、開発環境が構造的にマッピングされている。

ポジティブなセキュリティ観察

評価では、すでに実施されている強固なセキュリティ対策も記録されました。DMARCの拒否ポリシーとフォレンジックレポート、サブドメイン全体で事前読み込みを設定したHSTS、18のブラウザ機能を制限する包括的なパーミッションポリシー、適切に構成されたCookieセキュリティ属性、PGPキーおよびバグバウンティプログラムを含むよく整備されたsecurity.txtが挙げられます。重要な銀行インフラは外部からのリクエストに対してnull（空）の応答を返しており、適切なアクセス制御が行われていることを示しています。

成果

調査結果は、キャビススコアリングを含む構造化されたセキュリティレポートにまとめられ、その取引所の公式責任ある開示経路を通じて提出されました。極めて重要な構成の暴露は、すべての公開されたAPIキーの資格情報ローテーションおよび影響を受けたエンドポイントへのアクセス制限を含む即時の是正策の優先順位が付けられました。

方法論に関する注記

この評価は、CHIMERASCOPEのパッシブインテリジェンス手法を用いて行われました。すべてのデータは以下の方法で収集されました。HTTPヘッダーおよびレスポンスの分析、パブリックAPIを介したDNSレコードの列挙、証明書透過性ログの分析、公開エンドポイントの観測、パッシブサービスフィンガープリントの実施です。評価のどの段階においても、アクティブスキャン、資格情報テスト、ブルートフォース、または未承認のアクセスは一切行われていません。