米Symantecは、同社が運営するblog「Symantec Security Response Weblog」において、米SPI LabsのBilly Hoffman氏が開発した「Jikto」に関する脅威を解説している。
該当エントリーによると、JiktoはJavaScriptを使用したWebアプリケーション脆弱性診断プログラムである。完全にJavaScriptで作成されているため、OSに依存することなく、ブラウザさえあればWebアプリケーション脆弱性診断が可能となるメリットがあるとされる。
Jiktoの実行結果例 |
Hoffman氏はJiktoのソースコードをクローズドにすることを選択したが、セキュリティカンファレンス「Shmoocon」での講演中、デモンストレーションで表示されたURLが読み取られてしまったのだという。その結果、Jiktoのソースコードはインターネットを通じて衆目にさらされるものとなってしまった。
このようないきさつから、Jiktoのソースコード漏出はセキュリティ研究者や一部メディアによって脅威として捉えられているが、そうした観点はいささか取り乱しているきらいもあるとSymantecではみている。
その理由として、第一にJiktoと同様のWebアプリケーション脆弱性診断プログラムは他にも複数存在し、かつ、それらのうちの多くは無償で入手できること。また、それらの中にはJikto以上に詳細な診断が可能なものもある点を挙げている。つまり、Jiktoと同等の性能をもったプログラムはすでに存在しているというのだ。
第二に、Jiktoのソースコードは完全に漏出しておらず、フロントエンド部分がクローズドなままであることから、これを悪用しようとする者は技術的な知識が必要とされる点を挙げている。
第三の点として、Jiktoは匿名性を担保してWebアプリケーション脆弱性診断が可能であるという点が脅威とされているが、そうした匿名性を高める別のツールがすでに存在しており、脅威としてはなんら新しいものではないことが挙げられている。
以上の点から、JiktoはJavaScriptで開発されたという非常に先進的な特徴があるために新たな脅威として取りざたされているが、実際のところは、従来からある議論が引き続き成立していると解説されている。脆弱性診断プログラムが公開されることには良い点と悪い点があり、良い点は「Webサーバ管理者が自分のサイトを手軽に診断できる」ことであり、他方はその悪用を考える者がいること。したがって、不慮の漏出というストーリー自体がJiktoがクローズアップされた原因であり、それがなければこのような騒ぎにはなっていないのではなかったかと結論づけている。