Google、セキュリティスキャナー「Tsunami」をオープンソースで公開。ポートスキャンなどで自動的に脆弱性を検出するツール

Googleは、セキュリティスキャナー「Tsunami」をオープンソースで公開したと発表しました。

Announcing the release of the Tsunami security scanning engine to the open source communities to protect their users’ data, and foster collaboration.https://t.co/qrvmilHm1r

— Google Open Source (@GoogleOSS) June 18, 2020

Tsunamiは、アプリケーションに対してネットワーク経由で自動的にスキャンを行い、脆弱性を発見してくれるツールです。

Googleは、現在では攻撃者が自動化された攻撃ツールへの投資を続けており、ネット上に公開されたサービスが攻撃を受けるまでの時間が短くなってきていると指摘。そのためには脆弱性発見ツールも自動化を進め、より短時間で脆弱性が発見できるようになる必要があるとして、Tsunamiはそのために開発しオープンソース化したと説明します。

同社ではGoogle Kubernetes Engineに対してTsunamiを用い、つねに脆弱性をチェックしているとのことです。

Tsunamiの実行は下記の2段階に分かれています。「Tsunami: An extensible network scanning engine for detecting high severity vulnerabilities with high confidence」から一部を引用し、訳してみました。

Reconnaissance: In the first step, Tsunami detects open ports; then subsequently identifies protocols, services, and other software running on the target host using a set of fingerprinting plugins. To avoid reinventing the wheel, Tsunami leverages existing tools such as nmap for some of these tasks.

予備調査：まず最初にTsunamiは空いているポートを検出します。その後、フィンガープリントプラグインを使ってターゲットホスト上で実行されているプロトコル、サービス、その他のソフトウェアを識別します。車輪の再発明を避けるため、Tsunamiはこれらの作業の一部にnmapなど既存のツールを活用しています。

Vulnerability verification: Based on the information gathered through reconnaissance, Tsunami selects all vulnerability verification plugins matching the identified services. To confirm that a vulnerability indeed exists Tsunami executes a fully working, benign exploit.

脆弱性の検証：予備調査を通じて収集した情報に基づき、Tsunamiは特定されたサービスに合致するすべての脆弱性検証プラグインを選択します。そして脆弱性が実際に存在するかどうかを確認するため、Tsunamiは完全に動作する無害なエクスプロイトを実行します。

上記の説明にあるように、Tsunamiはプラグインによって機能を拡張することでさまざまなアプリケーションに対応できます。

Googleは今後Tsunamiをさらに拡張し、例えば遠隔からのコード実行（RCE：Remote Code Execution）のような脆弱性検出機能のリリースなどを計画しているとのことです。

追記（2020/6/23 13:40） 「Tsunami」という名前に関してGitHub上でIssue「I'm not sure if "Tsunami" is a good name. But I need your opinion. · Issue #5 · google/tsunami-security-scanner · GitHub」が立ちました（ブコメで教えていただきました。ありがとうございます）