IPA、組み込み製品によるJPEG閲覧時の脆弱性を検出するツールを公開

　IPAは30日、スマートテレビをはじめとする情報家電やスマートフォンなどの“組み込み製品”の脆弱性を検出するツール「iFuzzMaker」をオープンソースソフト（OSS）として公開した。

　IPAでは、2011年8月から組み込み製品に潜む脆弱性を提言させる取り組みを行っており、その一環として行った検証テストでは、JPEG画像を閲覧する機能に不具合をきたす可能性のある脆弱性を検出したという。

　この機能の脆弱性によっては、JPEG画像を閲覧しただけでウイルスに感染したり、外部から遠隔操作されたりする可能性がある。組み込み機器などでもJPEG画像を閲覧できる機能が組み込まれており、これらの製品は今後さらに普及することから、実害発生時の影響が懸念されるという。

　そこでiFuzzMakerを開発し、IPAのWebサイトで公開した。脆弱性の解消には、セキュリティテストの1つである「ファジング」が有効であり、このためのツールは商用製品やOSS問わず複数存在する。しかし、検証テストを通じて、既存のツールのみではJPEG画像の閲覧機能に対しては十分なテストが難しいことが判明したのだという。iFuzzMakerは既存のテストツールの機能不足を補うことを目的とし、幅広く製品開発の関係者に活用されるよう、利用マニュアルとともに公開するとしている。

　対象利用者は、JPEG画像を扱う情報家電やソフトウェア製品の関係者。具体的な機能としては、JPEG画像を読み込む機能に対するファジングで使うテストJPEG画像を作ること、利用者が指定した値をExifタグに持つJPEG画像を作ること。これらにより、スマホやデジカメなどでJPEG画像を閲覧する機能の脆弱性を検出できる。

　IPAでは、iFuzzMakerが製品開発における脆弱性検出の一助となることを期待するとしている。