Metasploit Project は19日、オープンソースのセキュリティ検証フレームワーク『Metasploit 3.2』を正式に公開した。同フレームワークは、攻撃コード作成とセキュリティ強化のどちらにも利用できるもので、恐れることはないが、知っておく必要はある。

Metasploit は、攻撃コード用のオープンソースの「ツールキット」で、検証を目的に脆弱性をテストするためのものだ。Metasploit の作者 H D Moore 氏は10月、トロントで開催されたセキュリティ カンファレンス『SenTor』で Metasploit 3.2 について語り、新版においてどのような「悪事」が可能になるか説明していた。今回のバージョンで注目すべき点は、(再び) Metasploit が、正真正銘のオープンソース ライセンス『BSD License』に基づいて提供されるようになったことだ。

Metasploit 3.2 の攻撃面でもっとも興味深い機能は、新しい『browser_autopwn』モジュールだ。

リリースの説明文には、次のような記述がある。「Metasploit は、Web ブラウザおよびサードパーティ製プラグイン用に、数十種の攻撃モジュールを備えている。新しい browser_autopwn モジュールは、そうした攻撃モジュールの多くを高度な識別テクニックと結び付け、大半の侵入テスト実施者が知っているよりも多くのコードをもたらす」

Metasploit のもう1つの改良点は、新しい『JavaScript』の難読化技術だ。これにより、クライアントサイドの攻撃において、多くのウイルス対策システムを回避できるようになる。

脆弱性や攻撃の存在は、毎週のように数多く報告が上がってくる。正直に言えば、どれが深刻でどれがそうでないかを見分けるのが難しいこともある。しかし Metasploit を使えば、そうしたことの把握もより簡単になる。単純に言えば、Metasploit で攻撃できる存在に「武器化」することが可能な脆弱性ならば、その脆弱性に注意すべきだということだ。これは個人的な見解になるが、Metasploit は弱点がどこにあるか示すことで、セキュリティを高めてくれるものだと言える。

したがって Metasploit は、セキュリティに携わる立場の人間にとっても、アプリケーションやインフラの強化という側面において役立つツールだ。コードはすべてオープンソースのため、Metasploit 全体を比類のない学習リソースとして利用できる。