脆弱性体験学習ツール「AppGoat」に脆弱性が発覚するという奇妙な事態が発生する

IPA(独立行政法人 情報処理推進機構)が提供する、脆弱性体験学習ツール「AppGoat」に脆弱性があることが発覚するという事態が発生し、情報処理推進機構のサイトでは、重要なお知らせとして、ウェブアプリケーション用学習ツールAppGoat(V3.0.1)の使用を控えるように告知している。

AppGoatは、脆弱性の概要や対策方法などの基礎知識が、実戦形式で体系的に学べるデスクトップアプリケーションツールで、テーマごとに用意された演習問題に対して、埋め込まれ脆弱性を発見して、その問題点と解決策を対話形式で学んでいくという学習ツール。

今回の事案では、クロスサイトリクエストフォージェリ(CSRF)という脆弱性が見つかったというもので、CSRFはWebアプリケーションのセキュリティ界隈では良く耳にする脆弱性だ。ツールの趣旨が、実戦形式で学習するというものなので、もしかしたら、AppGoat自体を犠牲にした課題だったのだろうか？ミイラ取りがミイラになるがのごとく、脆弱性の大切さを身をもって教えてくれるIPAとAppGoatであるが、今も「突いてみますか？脆弱性！」のバナーの文字が悲しく残っている。