スリーシェイクは2022年12月6日、Webアプリケーション脆弱性診断ツール「Securify Scan」を強化し、AIによるフォーム自動入力機能を追加したと発表した。Securify Scanは、診断対象のURLを指定するだけでWebアプリケーションの脆弱性を診断できる、クラウド型の弱性診断ツールである。今回、フォーム入力を自動化したことで、フォームに情報を入力しないと遷移しないWeb画面についても診断できるようにした。
スリーシェイクの「Securify Scan」は、Webアプリケーションの脆弱性を診断するクラウド型のツールである。サービスにアカウントを登録し、診断対象のURLを登録することによって診断できる。診断対象のURLを起点にクローリングを実施し、診断対象のエンドポイントを抽出する(関連記事:アクロネット、容易な操作性が特徴の脆弱性診断ツール「Securify Scan」を販売)。
ID/パスワード認証が必要なWebアプリケーションの診断も可能。フォームに入力する認証情報をあらかじめ登録しておくことで、SeleniumやJavaScriptを使って認証情報を入力する。また、スケジュールを設定して定期的に診断を実行する機能も備えている。
今回の機能強化では、個人情報を入力するフォームに対して、適切なデータをAIが自動入力してくれる機能を追加した。5つの項目(名前、郵便番号、住所、電話番号、メールアドレス)を自動で判定し、適切な値をセットする。テスト実行者は、フォーム画面に存在する入力項目を知っている必要はなく、項目ごとのデータセットもあらかじめ用意しなくて済む(図1)。
「入力作業が発生する問い合わせフォームなどを自動で診断したくても、各項目に適正な値を入力しなければ入力チェックによって次の画面に遷移できない。これが脆弱性診断を自動化するうえでの妨げになっていた」(スリーシェイク)
図1:Webアプリケーション脆弱性診断ツール「Securify Scan」に追加した、個人情報入力フォームへのデータ入力をAIで自動化する機能の概要(出典:スリーシェイク) 
