IPA、製品開発のテスト工程に活用できる脆弱性検出ツール「iFuzzMaker」を公開

独立行政法人情報処理推進機構（以下、IPA）は7月30日、スマートテレビをはじめとする情報家電やスマートフォンなど、いわゆる"組込み製品"の脆弱性を検出するツール「iFuzzMaker」（アイ・ファズ・メーカー）を開発し、IPAのウェブサイトでオープンソースソフトウェアとして公開を開始した。

「iFuzzMaker」は、JPEG画像を読み込む機能を持つ製品にセキュリティテスト「ファジング」を支援するツール。製品のJPEG 画像を読み込む機能に脆弱性が存在すると、問題を起こすデータ（例えば極端に長い文字列）を持つJPEG 画像を読み込んだ場合、製品の動作に問題（製品そのものの強制終了、最悪の場合、ウイルスへの感染や外部からの遠隔操作）が生じる。この脆弱性を作り込まないためには、製品出荷前に、このようなJPEG画像（テストデータ）を読み込ませて、製品の動作に問題が生じないかを確認するテストが有効となる。「iFuzzMaker」は、このテストデータを生成する。製品開発者は「iFuzzMaker」で生成したテストデータを製品に読み込ませるだけでファジングを実行できる。

脆弱性の解消には、セキュリティテストの1つであるファジングが有効であり、このためのツールには商用製品やオープンソースソフトウェアなど複数あるが、既存のツールのみではJPEG画像の閲覧機能に対しては十分なテストが難しいことが、先述のIPAでの検証テストの際に判明したという。「iFuzzMaker」は既存のテストツールの機能不足を補うことを目的としている。幅広く製品開発の関係者に活用されるよう、利用マニュアルとともにオープンソースソフトウェアとしてIPAのウェブサイトで公開を開始した。

「iFuzzMaker」の概要