IPA、製品開発のテスト工程に活用できる脆弱性検出ツール「iFuzzMaker」を公開

2013年8月1日(木)

独立行政法人情報処理推進機構(以下、IPA)は7月30日、スマートテレビをはじめとする情報家電やスマートフォンなど、いわゆる"組込み製品"の脆弱性を検出するツール「iFuzzMaker」(アイ・ファズ・メーカー)を開発し、IPAのウェブサイトでオープンソースソフトウェアとして公開を開始した。

「iFuzzMaker」は、JPEG画像を読み込む機能を持つ製品にセキュリティテスト「ファジング」を支援するツール。製品のJPEG 画像を読み込む機能に脆弱性が存在すると、問題を起こすデータ(例えば極端に長い文字列)を持つJPEG 画像を読み込んだ場合、製品の動作に問題(製品そのものの強制終了、最悪の場合、ウイルスへの感染や外部からの遠隔操作)が生じる。この脆弱性を作り込まないためには、製品出荷前に、このようなJPEG画像(テストデータ)を読み込ませて、製品の動作に問題が生じないかを確認するテストが有効となる。「iFuzzMaker」は、このテストデータを生成する。製品開発者は「iFuzzMaker」で生成したテストデータを製品に読み込ませるだけでファジングを実行できる。

脆弱性の解消には、セキュリティテストの1つであるファジングが有効であり、このためのツールには商用製品やオープンソースソフトウェアなど複数あるが、既存のツールのみではJPEG画像の閲覧機能に対しては十分なテストが難しいことが、先述のIPAでの検証テストの際に判明したという。「iFuzzMaker」は既存のテストツールの機能不足を補うことを目的としている。幅広く製品開発の関係者に活用されるよう、利用マニュアルとともにオープンソースソフトウェアとしてIPAのウェブサイトで公開を開始した。

「iFuzzMaker」の概要

対象利用者 JPEG画像を扱う情報家電やソフトウェア製品の関係者(開発者や品質保証担当者などを想定)
動作環境 OS:Windows XP ServicePack(SP3)(32bit)、Windows 7 SP1(32bit)
     CPU:1GHz以上のx86互換プロセッサ
     メモリ:1GB以上の空きメモリ
     HDD:1GB以上の空き領域
機能 ・JPEG画像を読み込む機能に対するファジングで使う、テストJPEG画像を作ること
   ・利用者が指定した値をExifタグに持つJPEG画像を作ること


Think ITメルマガ会員登録受付中

Think ITでは、技術情報が詰まったメールマガジン「Think IT Weekly」の配信サービスを提供しています。メルマガ会員登録を済ませれば、メルマガだけでなく、さまざまな限定特典を入手できるようになります。

Think ITメルマガ会員のサービス内容を見る