IPA、製品開発のテスト工程に活用できる脆弱性検出ツール「iFuzzMaker」を公開
2013年8月1日(木)
独立行政法人情報処理推進機構(以下、IPA)は7月30日、スマートテレビをはじめとする情報家電やスマートフォンなど、いわゆる"組込み製品"の脆弱性を検出するツール「iFuzzMaker」(アイ・ファズ・メーカー)を開発し、IPAのウェブサイトでオープンソースソフトウェアとして公開を開始した。
「iFuzzMaker」は、JPEG画像を読み込む機能を持つ製品にセキュリティテスト「ファジング」を支援するツール。製品のJPEG 画像を読み込む機能に脆弱性が存在すると、問題を起こすデータ(例えば極端に長い文字列)を持つJPEG 画像を読み込んだ場合、製品の動作に問題(製品そのものの強制終了、最悪の場合、ウイルスへの感染や外部からの遠隔操作)が生じる。この脆弱性を作り込まないためには、製品出荷前に、このようなJPEG画像(テストデータ)を読み込ませて、製品の動作に問題が生じないかを確認するテストが有効となる。「iFuzzMaker」は、このテストデータを生成する。製品開発者は「iFuzzMaker」で生成したテストデータを製品に読み込ませるだけでファジングを実行できる。
脆弱性の解消には、セキュリティテストの1つであるファジングが有効であり、このためのツールには商用製品やオープンソースソフトウェアなど複数あるが、既存のツールのみではJPEG画像の閲覧機能に対しては十分なテストが難しいことが、先述のIPAでの検証テストの際に判明したという。「iFuzzMaker」は既存のテストツールの機能不足を補うことを目的としている。幅広く製品開発の関係者に活用されるよう、利用マニュアルとともにオープンソースソフトウェアとしてIPAのウェブサイトで公開を開始した。
「iFuzzMaker」の概要
対象利用者 JPEG画像を扱う情報家電やソフトウェア製品の関係者(開発者や品質保証担当者などを想定)
動作環境 OS:Windows XP ServicePack(SP3)(32bit)、Windows 7 SP1(32bit)
CPU:1GHz以上のx86互換プロセッサ
メモリ:1GB以上の空きメモリ
HDD:1GB以上の空き領域
機能 ・JPEG画像を読み込む機能に対するファジングで使う、テストJPEG画像を作ること
・利用者が指定した値をExifタグに持つJPEG画像を作ること
動作環境 OS:Windows XP ServicePack(SP3)(32bit)、Windows 7 SP1(32bit)
CPU:1GHz以上のx86互換プロセッサ
メモリ:1GB以上の空きメモリ
HDD:1GB以上の空き領域
機能 ・JPEG画像を読み込む機能に対するファジングで使う、テストJPEG画像を作ること
・利用者が指定した値をExifタグに持つJPEG画像を作ること
Think ITメルマガ会員登録受付中
Think ITでは、技術情報が詰まったメールマガジン「Think IT Weekly」の配信サービスを提供しています。メルマガ会員登録を済ませれば、メルマガだけでなく、さまざまな限定特典を入手できるようになります。
全文検索エンジンによるおすすめ記事
- IPA、ウェブサイトの脆弱性を検査するオープンソースツール3種の評価レポートを公開
- 情報処理推進機構(IPA)、小規模ウェブサイト運営者を対象としたアンケート調査結果を踏まえて「企業ウェブサイトのための脆弱性対応ガイド」 を改訂公開
- IPA、情報システムの非機能要求定義を効率的に行う手法を公開
- GUIによる効率的なシステム管理、監視
- 実証実験のまとめ
- Internet Explorer のサポートポリシーが変更、IPAがバージョンアップを推奨
- IPA、Microsoft製品に存在する脆弱性について注意喚起
- OSDS実験の概要
- 共有バッファでどれだけ変わる?
- 【番外編】PCの歴史を振り返るー懐かしい? 古いのがかえって新鮮? レトロPC