【 ここから本文 】
- TOP
- > Topics : 暗号化技術
- >
暗号化技術
ソーシャルブックマークに登録 :
印刷用ページの表示
[米国]
グーグル、Webアプリのセキュリティ検査ツールをオープンソースで公開
XSS攻撃などを許すコーディング上の問題を抽出
(2008年07月04日)
米国Googleは7月1日、自社で使用しているセキュリティ・テスト用ツール「Ratproxy」をオープンソース・ソフトウェアとして公開した。
Ratproxyは、Webアプリケーションをテスト対象とするセキュリティ・ツール。クロスサイト・スクリプティング(XSS)攻撃を許してしまうエラーや、キャッシングの問題を引き起こすエラーなど、さまざまなコーディング上の問題を検出する機能を備えている。
 |
| Ratproxyによるセキュリティ評価の例 |
Ratproxyは、スタイルシートで使われるJavaScriptコードもチェックする。また、SSL(Secure Socket Layer)スキャンなどの機能もサポートしている。
Googleは、Ratproxyをオープンソース・ライセンス「Apache License 2.0」の下で無料提供する。「われわれがこのツールをオープンソースとして公開することに決めたのは、情報セキュリティ・コミュニティへの価値ある貢献になると考えたからだ。このツールは、Webにまつわるセキュリティ問題へのコミュニティの理解を促すだろう」と、Googleのミカル・ザレウスキー(Michal Zalewski)氏は同社ブログに記している。
Ratproxyは、Googleの開発者向けサイト「Google Code」からダウンロードできる。なお、Apache License 2.0の下でライセンスされたコードは、商用アプリケーションを含む派生ソフトウェアに組み込むことが可能だが、コードの由来を明記する必要がある。
Ratproxyの現時点のバージョンは1.51(ベータ版)で、パッシブ型のモードで動作する。これは、攻撃をシミュレートする大量のトラフィックをツール実行時に生成しないようにするためだと、Zalewski氏は説明している。ちなみに、これに対してアクティブ型スキャナは、アプリケーション・パフォーマンスの問題を引き起こす場合がある。
もっとも、パッシブ・モードで動作することには欠点もある。問題個所としてハイライト表示される領域の中に、セキュリティ上の欠陥の原因ではないものが含まれることだ。この点はZalewski氏も認めており、収集した情報の分析はセキュリティ専門家に任せるよう助言している。
米国の標準化団体WASC(Web Application Security Consortium)による2006年の調査によると、調査対象の3万1,373サイトのうち、85.57%にXSS攻撃への脆弱性が、26.38%にSQLインジェクションへの脆弱性がそれぞれ見つかった。データ損失につながる問題についても、15.70%のサイトで指摘されている。
こうしたなか、多くのセキュリティ・ベンダーは、強力なセキュリティ・ツールを求めるニーズへの対応に重点を置き始めた。また、それと同時に、大手IT企業がセキュリティ専業ベンダーを買収する動きも相次いでいる。
IBMとHewlett-Packard(HP)は昨年、ともにセキュリティ専業ベンダーを買収した。IBMが買収したのは、Webアプリケーションの脆弱性スキャン、データ保護、コンプライアンス監査を手がける米国Watchfireだ。対するHPは、Webアプリケーションの脆弱性検出機能やコンプライアンス監査機能を提供していたソフトウェアの開発会社で、Watchfireと競合する米国SPI Dynamicsを手に入れた。ちなみに、HPがSPI Dynamics買収を明らかにしたのは、IBMによるWatchfire買収発表のわずか2週間後だった。
(Jeremy Kirk/IDG News Serviceロンドン支局)
[中国/台湾]大規模なSQLインジェクション攻撃、中国/台湾でも猛威
1万台以上のサーバがマルウェアに感染
【解説】SQLインジェクション攻撃の“第3の波”――大規模サイト・ハッキングは今後も続く
IBMのセキュリティ研究員、攻撃の仕組みの複雑化・高度化を警告
すでに脆弱性は修正されているものの、専門家は「今後も同様の問題が発生する」と警告
[米国]HP、Webアプリ・セキュリティ・ベンダーのSPIダイナミクスを買収
Webアプリの品質向上で、他社サービスとの差別化をねらう
[米国]IBM、Webアプリ・セキュリティ・ベンダーのウォッチファイアを買収
脆弱性検知/監査技術をRational製品ラインに統合
