4月18日(米国時間)、Threatpostに掲載された記事「New MIT Scanner Finds Web App Flaws in a Minute|Threatpost|The first stop for security news」が、元MITの学生によって開発されたセキュリティスキャナがWebアプリケーションの脆弱性を発見するための有益だと伝えた。このツールはSpaceと呼ばれており、今年5月に開催が予定されているInternational Conference on Software Engineering (ICSE)で公開される見通しだ。
Spaceを開発した元MITの学生は現在はバークレーで研究員として働いていると説明がある。SpaceとさらにMITで開発されたセキュリティツール「Alloy」および「Derailer」を組み合わせるとより効率よくWebアプリケーションの脆弱性を発見できるという。
学生が開発したツールはGitHubでホスティングされている50個のRuby on Railsアプリケーションに対して実際に検証を行い、23個の脆弱性を発見したとしている。スキャンにかかった時間は最長で64秒だったとのことで、かなり効率よく脆弱性を発見できたことがわかる。発見された脆弱性はすでに開発者に報告済みだという。
Webアプリケーションの脆弱性をスキャンするツールはすでにいくつもあるが、Spaceはこれまでのツールとは異なる視点で問題の発見を行っており興味深い。このツールは開発段階にあるとのことだが、将来的にフリーで公開して誰でも利用できるようしたいとしており、今後Webアプリケーション向けのセキュリティスキャナとして広く活用される可能性がある。
(後藤大地)