今朝、知り合い三人のSkypeから同じメッセージを受け取った。

ショー

ht（リンク防止）tp://www.goo.gl/bLMvBI?profile_photo=******

この短縮URLの正しいリンク先を確認した所、

ht（リンク防止）tp://site.edu.in/plugins/tcpdf/profile.php=*****

で、おそらくSkypeのプロフィールページをPDFとして保存するスクリプトでも打ち込まれているのでしょう。
そこから個人情報とか抜くのかな？

あとZipファイルがDLされるっぽいので、その中に乗っ取りとか遠隔操作のウィルスも入ってるんだろうな～。

皆様お気をつけ下さい。

Webサービスの開発に携わっている方なら、脆弱性診断というのを実施した経験者は多いかと思います。

仕事でやっているなら、大抵はITセキュリティ専門の会社と契約して、専門家や専用のツールを使って診断をしてもらって、診断結果や修正が必要な場合は、その修正方法も含めた内容をレポートしてもらうというのが一般的かと思います。

普通の会社なら、当たり前ですが、そこまでお金だせない会社とか、個人で開発していた場合にどうすればよいのか考えてみたことがあります。

もちろん、SQLインジェクションやXSSとか、CSRF等々、ひとつひとつ手作業で確認すればなんとかなるのかもしれませんが、さすがに無理ですよね。

ということで、個人で使えるツールないかなーと探してみると、IPAのサイトにそれらしいことが・・・

なるほど、こちらを見ると、Java用とPHP用でソースコードレベルの検査を実施するツールの検証が行われています。

• LAPSE+（Java用）

（参考）

OWASP LAPSE Project - OWASP

• RIPS（PHP用）

ちなみに、このブログで何度も出てくる「超直訳（β）」は、PHPで書かれているので、今度こちらで実際にどうなるかを試してみたいと思います。

（つづく。。。）