Googleは米国時間3月19日、オープンソースのウェブセキュリティスキャナ「skipfish」を公開した。ウェブアプリケーションをスキャンして、セキュリティホールの有無を調べられるものだ。
skipfishでウェブアプリをスキャンすると、ブラインドSQLやXMLインジェクションといった「巧妙な仕掛け」を含む脆弱性の有無が確認できると、Googleの開発者Michal Zalewski氏はskipfishのwikiで述べている。
skipfishは対象サイトへの再帰的クロールと辞書ベースの調査を実行し、その結果を表示したインタラクティブなサイトマップを作成する。脆弱性がある場合には強調表示する。また、skipfishが作成する最終レポートは、セキュリティ評価の判断材料として利用できる。
同様のスキャンツールは、「Nikto」や「Nessus」など、すでに商用でもオープンソースでも複数出回っているため、ユーザーは自分に合ったツールを利用するのが望ましいとしながらも、Zalewski氏はskipfishの性能の高さをアピールしている。skipfishを用いた場合、テスト対象のサーバの能力によっては、インターネット上のターゲットに対して1秒あたり500件余り、LAN上では1秒あたり2000件余りのリクエストを処理できるという。
それでも、skipfishは「特効薬」ではないとZalewski氏は警告する。同氏によれば、skipfishは、セキュリティ関連団体Web Application Security Consortium(WASC)が規定する「Web Application Security Scanner Evaluation Criteria」(WASSEC:ウェブアプリケーション用セキュリティスキャナ評価基準)の要件の多くを意図的に満たしておらず、さらに、既知の脆弱性を網羅したデータベースも搭載していないという。
Googleは、このツールを各自の責任において使用するようユーザーに求めている。「何よりもまず、悪用しないようにお願いしたい。skipfishは、自身が所有するサービス、またはテストの実行を許可されたサービスにのみ使用してほしい」とZalewski氏は述べている。
skipfishは純粋なC言語で書かれ、「Apache License 2.0」の下で公開されている。入手可能な最新バージョンは1.11ベータ版だ。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。原文へ
CNET Japanの記事を毎朝メールでまとめ読み(無料)
地味ながら負荷の高い議事録作成作業に衝撃
使って納得「自動議事録作成マシン」の実力
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス