Windows ベースのオープンソースのセキュリティスキャナ　ATK

　Windows ベースのオープンソースのセキュリティスキャナ「ATK（Attack Tool Kit）」が最近注目されている。今回はATK開発者の Marc Ruef 氏に現状と今後についてのお話をうかがった。インタビューはメールベースで本年1月21日から25日の間に行われた。

ATK のページ
http://www.computec.ch/projekte/atk/

>> ATKの特徴　自由度、プラグイン、オープンソース

編集部：まず、ATKの特徴についておうかがいします。
　ATKの特徴は下記といわれていますね。
　　・利用者の自由度が高いこと
　　　利用者がテスト内容を簡単に修正、追加することができるようになっている
　　・随時新しいテストが追加されていること
　　・オープンソースであること

Marc Ruef 氏：そうです。それらは特徴であり、目標でもあります。

編集部：これらの特徴は特にどのような利用者にとってメリットあるものでしょうか？
　例えば、あなたのように実際にプロでセキュリティテストを行っているような方になるでしょうか？
　小規模のサーバのホスティングサービス事業者が定期的なサーバのセキュリティテストに使用することような場合にも便利でしょうか？（例えば現在Nessusを利用しているような）

Marc Ruef 氏：現時点ではATKはセキュリティテストを実施する人にとって役立つツールとなっています。ATKはプラグインによって機能拡張できるので、さまざまな目的に役立つと思います。
例えば昔からあったNessusのようなセキュリティスキャナとして利用することも可能です。
最初に問題となりそうな事項（予想できる潜在的なリスク）を特定し、その後、それを明らかにできるexploitコードをATKに組み込むことができます。これにより、さまざまな問題のチェックに利用できます。
今後のリリースでは、最初から網羅的に脆弱性のスキャンとexpoitを同時に実施できるようにしたいと思っています。

編集部：ATKの場合、テストする内容をプラグインの選択で絞れるので、テスト内容を選択できないツールと比較すると誤検知が少なく、スピードが速いのではないかと思っていますが、いかがでしょう。

Marc Ruef 氏：まったくその通りです。プラグインによって、どのような環境でも意味のある結果を出すことができます。

編集部：ATKで想定している利用者のレベルについて教えてください。ネットワークの基礎知識しかもたないユーザ企業の担当者では使いこなすのは難しいでしょうか？

Marc Ruef 氏：いえ、そんなことはありません。単に脆弱性の有無を確認したいだけなら、とても簡単です。脆弱性チェックの対象を指定して、スタートボタンを押して、チェックが終わったらレポートを読むだけです。
一般の脆弱性だけでなく他のプラグインを追加したり、特殊な環境だったりする場合は、少々知識が必要になります。ただ、普通この手のスキャンを実施するような管理者はネットワークの基礎知識はもっていると思いますので、その範囲で足りると思います。また、何かのスクリプト言語やtelnet程度の知識があればプラグインを作ることも可能です。

>> 次のバージョンでは複数IPアドレス/ホストの高速同時スキャンを実装
>> いずれはISSなどの商用製品と肩を並べるところまでに発展

編集部：この点では同じ環境のサーバが多いホスティング業者では便利ではないかと思いました。商用化されているセキュリティスキャナでも最初の段階でサーバ環境を間違えてしまって、メッセージが使い物にならないこともありますね。

Marc Ruef 氏：現時点でのATKは、同時に複数のIPアドレスやホストをスキャンすることができません。複数のIPアドレスやホストを簡単かつ迅速にスキャンする機能は次のバージョンで実装する予定です。

編集部：ISSなどの商用のセキュリティスキャナなみの機能になるのでしょうか？

Marc Ruef 氏：それはこのプロジェクトのひとつの目標ではあります。
ただし、私の個人的な印象ではまだまだ先という感じです。でも、必ず達成できると思います。ATKプロジェクトがもっと広がり、支援者がふえてくれば、メジャーな商用製品と肩を並べられるようになると思います。

>> 商用製品に匹敵するWEBアプリケーションの診断機能も実装する予定

編集部：現在のATKには特定のアプリケーションのcross-site-scripting（XSS）に対応したプラグインもあるようですが、一般的なWEBアプリケーション診断＝セキュリティテストも可能なのでしょうか？
例えば、自動的にformやpostのtagを探して、「Format String」「SQL Injection」などのテストを実施することは可能でしょうか？
ひとことでいうと、AppScanのような商用WEBアプケーションテスト機能があるのでしょうか？

Marc Ruef 氏：ええ、WEBアプリケーションのテストの重要性はどんどん大きくなってきていると思います。
ATKでXSSやSQL Injectionのチェックを行うことは簡単です。ATKにはこうしたチェックを生成するためのウィザードがいくつかあるので、これらを使えばあっという間に新しい攻撃を作ることができます。

編集部：ATKの今後の機能について教えてください。

Marc Ruef 氏：私はいつも新しいバージョンのリリースの際にはひとつの明確な目標をたてています。ATK5.0では多くのホストがある環境での利用を想定していました。複数の対象に対して特定のテストを高速で実施することができます。例えば、WEBアプリケーションチェックとか、XSSのチェックを一度に多数のホストに実施するといったことです。

編集部：商用のWEBアプリケーション診断ツールに匹敵するような大量のテストを自動生成して、実施するようなことができるのですか？

Marc Ruef 氏：すでに基本的なWEBアプリケーションテストはプラグインで可能になっています。私が考えているのは、WEBアプリケーション診断のための独立したモジュールです。「バッファオーバーフロー攻撃」などの他の攻撃手法のためにもこうしたモジュールを考えています。
次のATK6.0ではこれらの機能を実装することができると思っています。

>> 日本語への対応　日本のユーザグループができれば加速する？

編集部：日本語への対応はどうでしょう？

Marc Ruef 氏：複数言語に対応する機能はすでにあります。プラグインを別な言語にするのは簡単ですし、本体そのものを変えるのもそんなに難しくはありません。こうした機能を実装するためには、コミュニティからの協力が不可欠になります。私自身がすべての言語を翻訳できるわけでないですからね。
ATKプロジェクトに対して関心をもってくださる日本の方は多いようです。
日本でユーザグループを始めることは悪くない考えだと思います。特に日本語を実装するということを考えるとそうですね。

編集部：なるほど、日本のユーザグループですね。可能性はありそうですね。それでは、最後にひとことお願いします。

Marc Ruef 氏：ATKは使いやすいセキュリティツールです。このツールは多くの人々の協力によってなりたっています。ATKはオープン・ソースプロジェクトなので、多くの人が新しいチェックを公表して参加しています。
私は、毎日成長しているATKのプラグインや私あてのメールをみるたびに幸せな気持ちになります。