GMOサイバーセキュリティ byイエラエは2025年7月14日、Webアプリケーション脆弱性診断クラウドサービス「GMOサイバー攻撃 ネットde診断 for Webアプリ」に、AIエージェントによる「フォーム自動入力・送信機能」を追加した。登録フォームや検索フォームにAIエージェントが自動で適切な値を入力する。これにより、送信後の画面に存在する脆弱性を発見できる。
GMOサイバーセキュリティ byイエラエの「GMOサイバー攻撃 ネットde診断 for Webアプリ」は、Webアプリケーションの脆弱性診断クラウドサービスである。Webクローラーとして動作し、診断したいWebサイトのURLを入力すると、指定したWebサイト内に存在するページを巡回して脆弱性を検出する。
これまで、同サービスの自動診断は、脆弱性の検出対象が、静的なWebページやページ内リンクをたどれる範囲に限られていた。ログインページや検索/問い合わせフォームといった、ユーザーによる入力操作を必要とするページには手作業による対応が必要だった。
今回、脆弱性の自動検出範囲を広げるため、大規模言語モデル(LLM)とWebブラウザ自動操作技術を組み合わせたAIエージェントを実装した。人間の担当者による、フォームに情報を入力して送信する一連の操作を自動化する(画面1)。
画面1:新規会員登録フォームにデータを自動で入力して送信する機能のイメージ(出典:GMOサイバーセキュリティ byイエラエ)拡大画像表示
AIエージェントは、ページを解析し、フォームや入力欄・送信ボタンなどユーザーが操作可能な要素を自動で特定する。そのうえで、カート操作(選択肢のチェックなど)や問い合わせフォームの利用(ボタンのクリック)など、実際のユーザーを模した行動を再現する。
入力欄のラベルや説明文、ページタイトル、カテゴリ名といった情報をもとに、「どの項目にどのような情報を入力すべきか」や「どのボタンを押すべきか」を自動で推論して入力する。これまで自動対応が難しかった、ログイン後の会員専用ページやECサイトの購入画面なども、AIエージェントが自動的に情報を入力・送信することで、脆弱性を診断できるようになった。
