グーグル、ウェブアプリの脆弱性検査ツール「skipfish」を公開

文:Tom Espiner(ZDNet UK) 翻訳校正:佐藤卓、高橋朋子2010年03月23日 13時39分
  • このエントリーをはてなブックマークに追加

 Googleは米国時間3月19日、オープンソースのウェブセキュリティスキャナ「skipfish」を公開した。ウェブアプリケーションをスキャンして、セキュリティホールの有無を調べられるものだ。

 skipfishでウェブアプリをスキャンすると、ブラインドSQLやXMLインジェクションといった「巧妙な仕掛け」を含む脆弱性の有無が確認できると、Googleの開発者Michal Zalewski氏はskipfishのwikiで述べている。

 skipfishは対象サイトへの再帰的クロールと辞書ベースの調査を実行し、その結果を表示したインタラクティブなサイトマップを作成する。脆弱性がある場合には強調表示する。また、skipfishが作成する最終レポートは、セキュリティ評価の判断材料として利用できる。

 同様のスキャンツールは、「Nikto」や「Nessus」など、すでに商用でもオープンソースでも複数出回っているため、ユーザーは自分に合ったツールを利用するのが望ましいとしながらも、Zalewski氏はskipfishの性能の高さをアピールしている。skipfishを用いた場合、テスト対象のサーバの能力によっては、インターネット上のターゲットに対して1秒あたり500件余り、LAN上では1秒あたり2000件余りのリクエストを処理できるという。

 それでも、skipfishは「特効薬」ではないとZalewski氏は警告する。同氏によれば、skipfishは、セキュリティ関連団体Web Application Security Consortium(WASC)が規定する「Web Application Security Scanner Evaluation Criteria」(WASSEC:ウェブアプリケーション用セキュリティスキャナ評価基準)の要件の多くを意図的に満たしておらず、さらに、既知の脆弱性を網羅したデータベースも搭載していないという。

 Googleは、このツールを各自の責任において使用するようユーザーに求めている。「何よりもまず、悪用しないようにお願いしたい。skipfishは、自身が所有するサービス、またはテストの実行を許可されたサービスにのみ使用してほしい」とZalewski氏は述べている。

 skipfishは純粋なC言語で書かれ、「Apache License 2.0」の下で公開されている。入手可能な最新バージョンは1.11ベータ版だ。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。原文へ

  • このエントリーをはてなブックマークに追加