ITmedia NEWS > 製品動向 >

Google、セキュリティスキャナー「Tsunami」をオープンソースで公開 ポートスキャンなどで脆弱性を自動検出

» 2020年06月23日 14時42分 公開
[新野淳一ITmedia]

この記事は新野淳一氏のブログ「Publickey」に掲載された「Google、セキュリティスキャナー「Tsunami」をオープンソースで公開。ポートスキャンなどで自動的に脆弱性を検出するツール」(2020年6月23日掲載)を、ITmedia NEWS編集部で一部編集し、転載したものです。

 米Googleはこのほど、セキュリティスキャナー「Tsunami」をオープンソースで公開したと発表しました

 Tsunamiは、アプリケーションに対してネットワーク経由で自動的にスキャンを行い、脆弱(せいじゃく)性を発見してくれるツールです。

 Googleは、現在では攻撃者が自動化された攻撃ツールへの投資を続けており、ネット上に公開されたサービスが攻撃を受けるまでの時間が短くなってきていると指摘。そのためには脆弱性発見ツールも自動化を進め、より短時間で脆弱性が発見できるようになる必要があるとして、Tsunamiはそのために開発しオープンソース化したと説明します。

 同社ではGoogle Kubernetes Engineに対してTsunamiを用い、つねに脆弱性をチェックしているとのことです。

photo

 Tsunamiの実行は下記の2段階に分かれています。Google公式ブログに載っている解説記事「Tsunami: An extensible network scanning engine for detecting high severity vulnerabilities with high confidence」から一部を引用し、訳してみました。

Reconnaissance: In the first step, Tsunami detects open ports; then subsequently identifies protocols, services, and other software running on the target host using a set of fingerprinting plugins. To avoid reinventing the wheel, Tsunami leverages existing tools such as nmap for some of these tasks.

予備調査:最初にTsunamiは空いているポートを検出します。その後、フィンガープリントプラグインを使ってターゲットホスト上で実行されているプロトコル、サービス、その他のソフトウェアを識別します。車輪の再発明を避けるため、Tsunamiはこれらの作業の一部にnmapなど既存のツールを活用しています。

Vulnerability verification: Based on the information gathered through reconnaissance, Tsunami selects all vulnerability verification plugins matching the identified services. To confirm that a vulnerability indeed exists Tsunami executes a fully working, benign exploit.

脆弱性の検証:予備調査を通じて収集した情報に基づき、Tsunamiは特定されたサービスに合致する全ての脆弱性検証プラグインを選択します。そして脆弱性が実際に存在するかどうかを確認するため、Tsunamiは完全に動作する無害なエクスプロイトを実行します。

 上記の説明にあるように、Tsunamiはプラグインによって機能を拡張することでさまざまなアプリケーションに対応できます。

 Googleは今後Tsunamiをさらに拡張し、例えば遠隔からのコード実行(RCE:Remote Code Execution)のような脆弱性検出機能のリリースなどを計画しているとのことです。

Copyright © ITmedia, Inc. All Rights Reserved.