Google、セキュリティスキャナー「Tsunami」をオープンソースで公開。ポートスキャンなどで自動的に脆弱性を検出するツール

2020年6月23日

Googleは、セキュリティスキャナー「Tsunami」をオープンソースで公開したと発表しました

fig

Tsunamiは、アプリケーションに対してネットワーク経由で自動的にスキャンを行い、脆弱性を発見してくれるツールです。

Googleは、現在では攻撃者が自動化された攻撃ツールへの投資を続けており、ネット上に公開されたサービスが攻撃を受けるまでの時間が短くなってきていると指摘。そのためには脆弱性発見ツールも自動化を進め、より短時間で脆弱性が発見できるようになる必要があるとして、Tsunamiはそのために開発しオープンソース化したと説明します。

同社ではGoogle Kubernetes Engineに対してTsunamiを用い、つねに脆弱性をチェックしているとのことです。

Tsunamiの実行は下記の2段階に分かれています。「Tsunami: An extensible network scanning engine for detecting high severity vulnerabilities with high confidence」から一部を引用し、訳してみました。

Reconnaissance: In the first step, Tsunami detects open ports; then subsequently identifies protocols, services, and other software running on the target host using a set of fingerprinting plugins. To avoid reinventing the wheel, Tsunami leverages existing tools such as nmap for some of these tasks.

予備調査:まず最初にTsunamiは空いているポートを検出します。その後、フィンガープリントプラグインを使ってターゲットホスト上で実行されているプロトコル、サービス、その他のソフトウェアを識別します。車輪の再発明を避けるため、Tsunamiはこれらの作業の一部にnmapなど既存のツールを活用しています。

Vulnerability verification: Based on the information gathered through reconnaissance, Tsunami selects all vulnerability verification plugins matching the identified services. To confirm that a vulnerability indeed exists Tsunami executes a fully working, benign exploit.

脆弱性の検証:予備調査を通じて収集した情報に基づき、Tsunamiは特定されたサービスに合致するすべての脆弱性検証プラグインを選択します。そして脆弱性が実際に存在するかどうかを確認するため、Tsunamiは完全に動作する無害なエクスプロイトを実行します。

上記の説明にあるように、Tsunamiはプラグインによって機能を拡張することでさまざまなアプリケーションに対応できます。

Googleは今後Tsunamiをさらに拡張し、例えば遠隔からのコード実行(RCE:Remote Code Execution)のような脆弱性検出機能のリリースなどを計画しているとのことです。

追記(2020/6/23 13:40) 「Tsunami」という名前に関してGitHub上でIssue「I'm not sure if "Tsunami" is a good name. But I need your opinion. · Issue #5 · google/tsunami-security-scanner · GitHub」が立ちました(ブコメで教えていただきました。ありがとうございます)

Tags: セキュリティ 運用・監視 Google

このエントリーをはてなブックマークに追加
ツイート
follow us in feedly




タグクラウド

クラウド / AWS / Azure / Google Cloud
コンテナ / Docker / Kubernetes
クラウドネイティブ / サーバレス
クラウド障害 / 運用・監視

プログラミング言語 / 開発ツール
JavaScript / Java / .NET / WebAssembly
HTML/CSS / Web標準

アジャイル開発 / スクラム / DevOps / CI/CD
ソフトウェアテスト・品質
ローコード/ノーコード開発

データベース / RDB / NoSQL / 機械学習・AI
Oracle Database / MySQL / PostgreSQL
Office / 業務アプリケーション

ネットワーク / HTTP / QUIC / セキュリティ
OS / Windows / Linux / VMware
ハードウェア / サーバ / ストレージ

業界動向 / 働き方 / 給与・年収
編集後記 / 殿堂入り / おもしろ

全てのタグを見る

Blogger in Chief

photo of jniino

Junichi Niino(jniino)
IT系の雑誌編集者、オンラインメディア発行人を経て独立。2009年にPublickeyを開始しました。
詳しいプロフィール

Publickeyの新着情報をチェックしませんか?
Twitterで : @Publickey
Facebookで : Publickeyのページ
RSSリーダーで : Feed

最新記事10本