Google の独自開発によるファジングツール『Lemon』

Google (NASDAQ:GOOG) はセキュリティについて、自身が必要とする場合には特に、真剣に取り組む。

クロスサイトスクリプティング (XSS) 攻撃に代表されるインジェクション攻撃は Google にとって特に脅威となるため、同社のセキュリティチームは、アプリケーションに潜在する XSS 問題を自動的に発見してくれるブラックボックス的ファジングツール『Lemon』の開発に取り組んでいる。

だが Lemon を近い将来に利用できるようになると期待してはいけない。Google は、この取り組みについては社外に出さない可能性が高い。

ファジングは、アプリケーションが正常に機能しなくなるような手段を故意に行なうことにより問題を暴き出すという、セキュリティ分野で広く使われている手法の1つで、フォールト インジェクション (fault injection) とも呼ばれる。

Google のセキュリティチームの開発者 Srinath Anantharaju 氏は、Blog への投稿で次のように書いている。「われわれの脆弱性テストツールは、まず Web アプリケーションの URL と付随する入力パラメータを調べ上げる。次に、XSS などの脆弱性を露わにすることを狙った異常な文字列を各パラメータに対話的に与え、応答を分析してそういった脆弱性の徴候を探す」

Anantharaju 氏によると、Lemon は、クッキー ポイズニング、HTTP レスポンス スプリッティングといった攻撃手法を含め、他の種類のセキュリティ問題も発見できるという。Lemon は、「自家製」であり、新たな攻撃手法に関しても Google は積極的に開発を進めている。

Anantharaju 氏によると、Google は市場に出回っている商用のファジングツールを調べたが、独自に開発するほうが同社の特殊なニーズを最も満たせると感じたのだという。今後もこういったやり方が続く可能性が高い。

Anantharaju 氏は、次のように述べている。「Lemon は、Google のアプリケーション向けに高度にカスタマイズされている。われわれは、近い将来に Lemon を外部に販売することはまったく計画していない」