GMOサイバーセキュリティ byイエラエ株式会社は7月14日、Webアプリケーション脆弱性診断ツール「GMOサイバー攻撃 ネットde診断 for Webアプリ」にAIエージェントによる「フォーム自動入力・送信機能」を追加したと発表した。
「GMOサイバー攻撃ネットde診断 for Webアプリ」は、同社に所属するホワイトハッカーが開発したWebアプリケーション脆弱性診断ツールで、ブラウザから診断したいWebサイトのトップページのURLを入力すると、Webサイト内に存在するページの巡回から脆弱性の検知まで自動で行う。クラウドツールのためダウンロード不要で、ホワイトハッカーが最新の脆弱性情報や検知ロジックを随時反映するため、いつでも手軽に脆弱性診断が可能となる。
従来までの自動診断では、脆弱性の検出対象が「内容が固定された静的なWebページ」や「ページ内リンクをたどれる範囲」に限られ、ログインページや検索フォーム、問い合わせフォームといったユーザーによる入力操作を必要とするページについては手作業による対応が不可欠であった。
「フォーム自動入力・送信機能」の追加で、これまでWebクローラーが自動で取得できなかった登録フォームや検索フォームに対しても、AIエージェントが自動で適切な値を入力し、送信後の画面に存在する脆弱性の発見が可能となり、Webページの脆弱性診断を一貫して自動化できる。
同社が「フォーム自動入力・送信機能」実現のために独自に設計・開発したAIエージェントは、Webサイトを自動で調べるWebクローラーの用途に最適化され、高い自動化能力と柔軟な対応力を備えてる。主な特徴は下記の通り。
・ページ解析と要素抽出
AIエージェントがページを解析することで、フォームや入力欄・送信ボタンなど「ユーザーが操作可能な要素」を自動で特定。
・入力値の推論とアクションの決定
大規模言語モデル(LLM)が入力欄のラベルや説明文、ページタイトル、カテゴリ名といった情報をもとに、「どの項目にどのような情報を入力すべきか」や「どのボタンを押すべきか」を自動で推論。
・一括自動操作の実行
フォームへの入力、選択肢のチェック、ボタンのクリックといった一連の操作をAIエージェントが自動的に実行。
・フォーム操作と自動入力
従来のWebクローラーでは対応が難しかった問い合わせフォームなどの「ユーザーの操作後に表示されるページ」にもアクセスし、自動で入力・送信を行うことが可能。
同機能を利用するには同社まで連絡する必要があり、担当エンジニアによる手動での機能追加作業を経て、利用可能となる。
「GMOサイバー攻撃 ネットde診断 for Webアプリ」開発チームの市川遼氏は「本成果は、従来は高度な専門知識と手作業を要していたWebアプリケーションの脆弱性診断において、LLM(大規模言語モデル)を活用することで、その一部を自動化可能であることを実証したものです。これは、Web診断の自動化に向けた技術的ブレークスルーであり、今後の実運用における診断効率の向上と品質の標準化に資する重要なステップとなります。」とコメントしている。
