IPA/ISEC(独立行政法人 情報処理推進機構セキュリティセンター)は2月6日、「TCP/IPに係る既知の脆弱性検証ツール」を公開した。インターネットに接続する電子機器の情報セキュリティ対策を推進することを目的に、TCP/IPを実装する製品の開発者向けに無償で貸し出しを行う。
コンピュータをはじめとしたインターネットに接続する電子機器には、TCP/IPソフトウェアが組み込まれており、近年では情報家電や携帯端末などの組込み機器にも採用されている。しかし、TCP/IPを実装したソフトウェアには、これまで多くの脆弱性が確認されている。
発見された脆弱性はその都度公表され、機器ごとに対策が施されている。しかし、こうした脆弱性を体系的に検証するツールが整備されてこなかったことから、新たに開発されるソフトウェアで、すでに公表されている脆弱性の対策が実装されず、脆弱性が「再発」するケースが見受けられる。
今回公開された「TCP/IPに係る既知の脆弱性検証ツール」は、IPAが2008年1月8日に公開した「TCP/IPに係る既知の脆弱性に関する調査報告書(改訂第3版)」に記載している23項目の脆弱性のうち、18項目の脆弱性を体系的に検証できるツールとなっている。
本ツールを使用することで、TCP/IPを実装する製品開発者は検証対象機器の脆弱性検証を自動実行し、脆弱性の有無を簡易判定できる。また、脆弱性の判断のための確認ガイドを参照することにより、脆弱性の有無の正確な判断が行える。本ツールは、TCP/IP実装製品の開発者向けにCD-ROMで無償貸し出しされる。
