こんにちは、プロダクトセキュリティグループの徐承賢(sunchan)です。まだ入社して間もないですが、hacomonoのセキュリティ強化に向けて日々奮闘しています。
最近、hacomonoではAI活用の動きが本格化しており、私自身もセキュリティエンジニアとしてこの流れに乗ってみようと思いました。そんな中、Webアプリケーションの脆弱性診断ツールとして広く知られている「Burp Suite」に、今年2月からAIを活用した新機能「Burp AI」が追加されたという情報を、チームメンバーから教えていただきさっそく試してみることにしました。
Burp AIとは?
Burp AIは、PortSwigger社が提供するBurp Suite Professionalに組み込まれた、AIベースの分析支援機能です。従来の自動スキャナ(Active Scan)はシグネチャベースやルールベースの脆弱性検知が中心でしたが、Burp AIはそこに機械学習や自然言語処理のアプローチを加え、「より人間に近い視点」で脆弱性を検知・レポートすることを目指してるようです。対象アプリケーションのレスポンスパターンやコンテキストを学習することで、従来の手法では見落とされがちだった複雑な挙動や潜在的リスクを浮き彫りにできる点が、Burp AIの大きな特長とされています。
準備
まず準備として必要なものは、Burp Suite Professionalの最新版(Version 2025.3.4(20250507093202))と、PortSwigger社の公式サイトから入手できるBurp AIのクレジットのみです。最新版のBurp Suite Professionalをインストールすれば、「Burp AI」は基本的に有効化されるため、特別な設定は不要です。なお、AI機能を無効にしたい場合は、設定画面からオフにすることも可能です。
あとは、通常通り対象のアプリケーションをプロキシ経由で操作し、キャプチャされたリクエストをスキャンにかけるだけです。結果が出たら気になるところを選んでAI 機能を利用する感じです。
今回は、テストの対象として脆弱性付きWebアプリ OWASP Juice Shop を用意しました。OWASP Juice Shop(ジュースショップ)は、OWASPが提供する「脆弱性を学ぶためのモダンなWebアプリケーション」です。実際のWebアプリと同様の構造・挙動で、OWASP Top 10の代表的な脆弱性を多数含んであるのでセキュリティ教育やペネトレーションテストの練習にも広く使われています。
使ってみた
実際にBurp Suite ProfessionalでBurp AIを試してみたところ、いくつか注目すべき新機能が搭載されていることに気づきました。中でも特に印象的だったのが、「Explore Issues」機能です。この機能は、スキャン中に検出された脆弱性に対して、AIが自動的に追加の検証テストを実施してくれるというものです。そのため、従来のように検出結果をもとに手動で再確認を行う手間が省け、脆弱性の正確性や深刻度をより効率的に把握することが可能になります。
例えば、SQLインジェクションに疑われる脆弱性(未確定)に対してもうちょと深掘りしたい場合、Explorer Issueボタンを押すと、自動でタスクが作られ自動生成されたパターンのテストが始まります。
Burp AIが勝手にSQL インジェクションのクエリー文を作って色んな種類のテストをしてくれたので、Repeaterで再確認しながら手動テストする手間が少しは軽減できるかなという印象でした。
PortSwigger社が提供しているBurp AI 機能の一つで「Explainer」というものもあります。この機能は選択したHTTPリクエストやレスポンスの一部に対して、AIが技術的な説明を提供します。Explainer機能は、セキュリティ診断中に遭遇する未知の技術要素を迅速に理解するのに非常に役に立ちます。これにより、見慣れない技術や構造を迅速に把握できるので理解度を深めながらより正確な診断を行うことができます。
そして使ってみて分かったのはBurpの拡張機能(BApp Extentions)にもAIを活用したものもいくつか登場しており、まだ数少ないですが色々試してみたらセキュリティ診断作業に使えそうなものがいくつかあったので、ご紹介します。
まず、「AI Recon」という拡張機能はBurpのSite mapをもとに、AIとチャット形式で対話しながら対象Web アプリケーションの構成やエンドポイント、入力項目などを調査できるというものです。たとえば「認証が必要なエンドポイントは?」「ユーザー入力を受け付けるパラメータを教えて」などの質問に対して、Burpの内部データを元に即座に回答してくれるので、スコープの整理やテストの準備作業がとてもスムーズになります。
例えば、Summarize the API structure and key methods 命令に対し、AI Recon拡張機能はWebアプリケーションの全体的なAPIの構造とその特徴をまとめてくれます。
さらに Are the any potentially vulnerable endpoints という命令からは、上記データをベースにエンドポイントをまとめて診断テスト方法をお勧めしてくれます。
従来セキュリティ診断作業ではWebアプリケーションをを巡回しながら、一つ一つのendpointoに対して診断テスト方法やシナリオを計画して実施する手間がありましたが、この機能によりWebアプリケーション全体の構造や脆弱性が潜んでいそうな箇所をより容易に把握できるようになり、診断作業の効率が大きく向上すると感じました。
そして、「Document My Pentest」拡張機能も便利でした。この拡張機能は、診断結果をベースにAIがレポートを自動生成してくれるもので、テスト内容や発見された脆弱性を整理しながら自然な文章でまとめてくれます。報告書作成にかかる時間を大きく削減できる可能性を感じました。
例えば、見つけた脆弱性の画面(Repeater)からレポート作成します
(Extentions > Document My Pentest > Create Reportの順に実施)
そうすると、下記のようなエビデンスや説明、再現方法などが含まれているBug reportを作ってくれます。
但し、残念ながらDocument my pentest 拡張機能は日本語に対応してないため、日本語化する必要があります。テストではchatgptを挟んで英文を日本語に変換するだけの加工を行いました。
chatgptで日本語化、加工したレポートは下記となります。
結果的に脆弱性診断作業中に作成する速報レポートっぽいものが出来上がったので、これは非常に有用ではないかと思いました。
というのも、セキュリティエンジニアの業務においては、脆弱性の診断そのもの以上に、エビデンスの収集や脆弱性の説明文の作成、さらにはその対策案の提示といったレポート作成業務に多くの時間と労力がかかってしまうのが実情です。
しかし、AIを活用してこのようなレポート作成の一部を自動化できれば、業務全体の効率が大幅に向上するのではないかと強く感じました。
このように、Burp AIは単なる脆弱性のスキャナ機能にとどまらず、脆弱性診断全体の作業効率を高めるためのさまざまな補助ツールとしても非常に有用だと思いました。
良かった点と気になった点
良かった点としては、何よりAIが再確認作業と複雑な攻撃パターンを自動生成し追加テストを実施してくれたり、チャット形式で全体的なWebアプリケーションの情報をまとめてくれたり、見つけた脆弱性のレポートも自動生成してくれたところです。これによって診断作業の時間が大幅に短縮できると思いました。
一方で、気になった点もいくつかあります。まず、現時点ではBurp AIが英語のみの対応になっているため、英語力が少し必要なのとレポートでは英文を日本語に変換する必要があります。また、AI 機能自体がまだ少なく拡張機能の成熟度も低いためセキュリティ診断を完全に自動化することはできなかったです。さらに一部のテストや指摘はやや曖昧になって、明確な脆弱性ではないものを「可能性あり」として報告してくるケースもありました。このあたりは今後の学習精度向上に期待ですね。
まとめ
Burp AIは、まだ「アシスタント的存在」ではあるものの、セキュリティ診断における新しい視点を与えてくれるツールとして良かったです。人の目での最終判断は依然として必要ですが、Burp AIの示す気付きをうまく取り入れることで、より深く、効率的な診断が実現できると感じました。AIの活用が進むなかで、今後のバージョンアップにも注目したいと思います。もしBurp Suite Professionalを利用中の方がいれば、一度試してみる価値は大いにあると感じました。
💁 関連記事
