Google、セキュリティスキャナー「Tsunami」をオープンソースで公開。ポートスキャンなどで自動的に脆弱性を検出するツール
Googleは、セキュリティスキャナー「Tsunami」をオープンソースで公開したと発表しました。
Announcing the release of the Tsunami security scanning engine to the open source communities to protect their users’ data, and foster collaboration.https://t.co/qrvmilHm1r
— Google Open Source (@GoogleOSS) June 18, 2020
Tsunamiは、アプリケーションに対してネットワーク経由で自動的にスキャンを行い、脆弱性を発見してくれるツールです。
Googleは、現在では攻撃者が自動化された攻撃ツールへの投資を続けており、ネット上に公開されたサービスが攻撃を受けるまでの時間が短くなってきていると指摘。そのためには脆弱性発見ツールも自動化を進め、より短時間で脆弱性が発見できるようになる必要があるとして、Tsunamiはそのために開発しオープンソース化したと説明します。
同社ではGoogle Kubernetes Engineに対してTsunamiを用い、つねに脆弱性をチェックしているとのことです。
Tsunamiの実行は下記の2段階に分かれています。「Tsunami: An extensible network scanning engine for detecting high severity vulnerabilities with high confidence」から一部を引用し、訳してみました。
Reconnaissance: In the first step, Tsunami detects open ports; then subsequently identifies protocols, services, and other software running on the target host using a set of fingerprinting plugins. To avoid reinventing the wheel, Tsunami leverages existing tools such as nmap for some of these tasks.
予備調査:まず最初にTsunamiは空いているポートを検出します。その後、フィンガープリントプラグインを使ってターゲットホスト上で実行されているプロトコル、サービス、その他のソフトウェアを識別します。車輪の再発明を避けるため、Tsunamiはこれらの作業の一部にnmapなど既存のツールを活用しています。
Vulnerability verification: Based on the information gathered through reconnaissance, Tsunami selects all vulnerability verification plugins matching the identified services. To confirm that a vulnerability indeed exists Tsunami executes a fully working, benign exploit.
脆弱性の検証:予備調査を通じて収集した情報に基づき、Tsunamiは特定されたサービスに合致するすべての脆弱性検証プラグインを選択します。そして脆弱性が実際に存在するかどうかを確認するため、Tsunamiは完全に動作する無害なエクスプロイトを実行します。
上記の説明にあるように、Tsunamiはプラグインによって機能を拡張することでさまざまなアプリケーションに対応できます。
Googleは今後Tsunamiをさらに拡張し、例えば遠隔からのコード実行(RCE:Remote Code Execution)のような脆弱性検出機能のリリースなどを計画しているとのことです。
追記(2020/6/23 13:40) 「Tsunami」という名前に関してGitHub上でIssue「I'm not sure if "Tsunami" is a good name. But I need your opinion. · Issue #5 · google/tsunami-security-scanner · GitHub」が立ちました(ブコメで教えていただきました。ありがとうございます)
あわせて読みたい
「HashiCorp Cloud Platform」発表。マルチクラウドでHashiCorpのサービスを提供予定。まずはAWSでConsulの提供から
≪前の記事
AdoptOpenJDKプロジェクトがEclipse Foundationへの合流を発表。合流後の新プロジェクト名は「Eclipse Adoptium」に
