グーグル、ウェブアプリの脆弱性検査ツール「skipfish」を公開

　Googleは米国時間3月19日、オープンソースのウェブセキュリティスキャナ「skipfish」を公開した。ウェブアプリケーションをスキャンして、セキュリティホールの有無を調べられるものだ。

　skipfishでウェブアプリをスキャンすると、ブラインドSQLやXMLインジェクションといった「巧妙な仕掛け」を含む脆弱性の有無が確認できると、Googleの開発者Michal Zalewski氏はskipfishのwikiで述べている。

　skipfishは対象サイトへの再帰的クロールと辞書ベースの調査を実行し、その結果を表示したインタラクティブなサイトマップを作成する。脆弱性がある場合には強調表示する。また、skipfishが作成する最終レポートは、セキュリティ評価の判断材料として利用できる。

　同様のスキャンツールは、「Nikto」や「Nessus」など、すでに商用でもオープンソースでも複数出回っているため、ユーザーは自分に合ったツールを利用するのが望ましいとしながらも、Zalewski氏はskipfishの性能の高さをアピールしている。skipfishを用いた場合、テスト対象のサーバの能力によっては、インターネット上のターゲットに対して1秒あたり500件余り、LAN上では1秒あたり2000件余りのリクエストを処理できるという。

　それでも、skipfishは「特効薬」ではないとZalewski氏は警告する。同氏によれば、skipfishは、セキュリティ関連団体Web Application Security Consortium（WASC）が規定する「Web Application Security Scanner Evaluation Criteria」（WASSEC：ウェブアプリケーション用セキュリティスキャナ評価基準）の要件の多くを意図的に満たしておらず、さらに、既知の脆弱性を網羅したデータベースも搭載していないという。

　Googleは、このツールを各自の責任において使用するようユーザーに求めている。「何よりもまず、悪用しないようにお願いしたい。skipfishは、自身が所有するサービス、またはテストの実行を許可されたサービスにのみ使用してほしい」とZalewski氏は述べている。

　skipfishは純粋なC言語で書かれ、「Apache License 2.0」の下で公開されている。入手可能な最新バージョンは1.11ベータ版だ。