Googleは、よくある設定ミスや既知のバグによってHTTPS接続の安全性が損なわれることを防ぐためのセキュリティテストツールをリリースした。「nogotofail」という、2014年に入って「Mac」と「iOS」に影響を与えた「goto fail」バグにちなんで名付けられたらしい同ツールは、インターネットに接続された端末やアプリケーションが、既知のバグや設定ミスといった、TLS(Transport Layer Security)やSSL(Secure Socket Layer)の暗号化の問題にさらされていないことを確認するための手段を提供する。
nogotofailのリリースに先立ち、TLS/SSLプロトコルには最近、複数の脆弱性が発見されていた。例えば、SSL 3.0で最近発見された「POODLE」や、OpenSSLの「Heartbleed」だ。どちらもサーバを深刻な攻撃にさらし、業界全体が大がかりな修正作業に追われた。
nogotofailは、一般的なSSL証明書検証、HTTPSやTLS/SSLライブラリのバグ、クリアテキストの問題などをテストする。同ツールは、ルータ、「Linux」マシン、またはVPNサーバに導入でき、「Android」「Chrome OS」、iOS、Linux、「OS X」「Windows」に対応する。
nogotofailは、開発者や管理者によるTLS/SSLの誤った使用に起因するほころびを縫い合わせることによって、HTTPS接続の安全性を確実に確保することを目的にしている。
AndroidのセキュリティエンジニアであるChad Brubaker氏は米国時間11月4日付けのブログ投稿で、「われわれはしばらく前からこのツールを使用しており、多く開発者と連携してそのアプリのセキュリティを改善してきた。TLS/SSLの使用ができるだけ早く進歩することを望んでいる」と述べた。
他の開発者らが自分のアプリケーションをテストして新しい機能に貢献してくれるよう、同チームはnogotofailのコードをGitHub上にオープンソースプロジェクトとしてリリースした。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
