PR

IPA、製品開発のテスト工程に活用できる脆弱性検出ツール「iFuzzMaker」を公開

2013年8月1日(木)

独立行政法人情報処理推進機構(以下、IPA)は7月30日、スマートテレビをはじめとする情報家電やスマートフォンなど、いわゆる"組込み製品"の脆弱性を検出するツール「iFuzzMaker」(アイ・ファズ・メーカー)を開発し、IPAのウェブサイトでオープンソースソフトウェアとして公開を開始した。

「iFuzzMaker」は、JPEG画像を読み込む機能を持つ製品にセキュリティテスト「ファジング」を支援するツール。製品のJPEG 画像を読み込む機能に脆弱性が存在すると、問題を起こすデータ(例えば極端に長い文字列)を持つJPEG 画像を読み込んだ場合、製品の動作に問題(製品そのものの強制終了、最悪の場合、ウイルスへの感染や外部からの遠隔操作)が生じる。この脆弱性を作り込まないためには、製品出荷前に、このようなJPEG画像(テストデータ)を読み込ませて、製品の動作に問題が生じないかを確認するテストが有効となる。「iFuzzMaker」は、このテストデータを生成する。製品開発者は「iFuzzMaker」で生成したテストデータを製品に読み込ませるだけでファジングを実行できる。

脆弱性の解消には、セキュリティテストの1つであるファジングが有効であり、このためのツールには商用製品やオープンソースソフトウェアなど複数あるが、既存のツールのみではJPEG画像の閲覧機能に対しては十分なテストが難しいことが、先述のIPAでの検証テストの際に判明したという。「iFuzzMaker」は既存のテストツールの機能不足を補うことを目的としている。幅広く製品開発の関係者に活用されるよう、利用マニュアルとともにオープンソースソフトウェアとしてIPAのウェブサイトで公開を開始した。

「iFuzzMaker」の概要

対象利用者 JPEG画像を扱う情報家電やソフトウェア製品の関係者(開発者や品質保証担当者などを想定)
動作環境 OS:Windows XP ServicePack(SP3)(32bit)、Windows 7 SP1(32bit)
     CPU:1GHz以上のx86互換プロセッサ
     メモリ:1GB以上の空きメモリ
     HDD:1GB以上の空き領域
機能 ・JPEG画像を読み込む機能に対するファジングで使う、テストJPEG画像を作ること
   ・利用者が指定した値をExifタグに持つJPEG画像を作ること


Think IT会員サービス無料登録受付中

Think ITでは、より付加価値の高いコンテンツを会員サービスとして提供しています。会員登録を済ませてThink ITのWebサイトにログインすることでさまざまな限定特典を入手できるようになります。

Think IT会員サービスの概要とメリットをチェック