アイディフェンス、ファイルフォーマットのバグ発見用ツールを公開

　ラスベガス発--JPEGやGIFといった人気の高い画像フォーマットの脆弱性発見に役立つ新しいツールが登場した。

　当地で開催中の「Black Hat」セキュリティカンファレンスで講演した複数の人々によると、これらのフォーマットのファイルを処理する各種アプリケーションの機能の欠陥がセキュリティ研究者らの関心を集めているという。

　これらのバグのなかには、ウェブページや電子メール中の画像を見るだけで被害者のPCが乗っ取られてしまうなど、深刻な被害をもたらすものもいくつかある。Microsoftでは、3件の「緊急」レベルの欠陥に対処するセキュリティパッチを今月はじめに投入しているが、そのうち2件はこうしたファイルフォーマット関連の欠陥だった。

　このような欠陥は、今後発見例が急増すると考えられている。そこで、セキュリティ情報を提供するiDefenseは、研究者がファイルフォーマットの脆弱性を自動的に発見できるツールを投入することになった。同社はBlack Hatの開催にあわせ、米国時間28日にこれらのツールをリリースした。

　iDefenseのMichael Suttonは、Black Hatでプレゼンテーションを行い、「脆弱性があまりにも簡単に悪用されていると思う」と語った。iDefense自体もファイルフォーマットの欠陥を複数発見している。「われわれはツール開発のほうに時間を割いていた。脆弱性の発見にばかり躍起になっていたわけではない」（Sutton）

　WindowsとLinuxに対応するこれらのツールは、すべてのアプリケーションで、不正なファイルをビット単位で自動的に微調整してから開く。そして、ファイルを開くときにエラーが見つかると、ツールがそのエラーデータを取得する。iDefenseによると、そのデータを研究者が調査すれば脆弱性が発見される場合もあるという。

　「これらは、ボタンを押しただけで脆弱性が見つかるといった類のツールではない。これは例外的な部分を指摘するので、研究者がそれを調べる必要がある」（Sutton）

　「FileFuzz for Windows」「SpikeFile for Linux」「NotSpikeFile for Linux」と呼ばれるこれらのツールは、悪用することも可能だが、iDefenseはこれらがユーザーの保護に役立つことを期待している。

　「これらは悪用するものではない。人のためになるものだし、そのように使われることを望んでいる」（Sutton）

　同氏の講演を聴いた参加者の1人は、これらのツールについて、正当な目的を持つセキュリティ研究者だけがつかうことになると予想した。「これらのツールを使っても、あるアプリケーションもしくはフォーマットに脆弱性があるかどうかがわかるだけだ」とScience Applications Internationalのセキュリティ・エンジニア、Joshua Feldmanは言う。「これは確かにホワイトハットの連中向けのものだ」（Feldman）

　このツールはオープンソースであることから、iDefense以外の開発者がこれをベースに機能を拡張したり改善することが可能だ。同ツールはiDefenseのウェブサイトからダウンロードできる。