IPA、TCP/IP関連の“脆弱性検証ツール”を開発〜デベロッパ向けに無償貸出

エンタープライズその他

2008年2月6日（水） 17時48分

　独立行政法人情報処理推進機構（IPA）は6日より、TCP/IPを実装する製品の開発者向けに、TCP/IPに係る既知の脆弱性検証ツールを開発・公開し、CD-ROMでの貸出を開始した。

　このツールは、1月8日にIPAが公開した「TCP/IPに係る既知の脆弱性に関する調査報告書（改訂第3版）」に記載されている23項目の脆弱性のうち、18項目の脆弱性を体系的に検証できる。TCP/IPを実装する製品開発者は、ツールを使用することにより、検証対象機器の脆弱性検証を自動実行し、脆弱性の有無を簡易判定できる。また、脆弱性の判断のための確認ガイドを参照することにより、脆弱性の有無の正確な判断ができるものとなっているとのこと。開発はラックが行い、IIJ、JPCERT/CC、日本電気等が協力した。

　「TCP/IPに係る既知の脆弱性に関する調査報告書」に記載されている23項目のうち、検証可能な脆弱性の内訳としては、TCP（Transmission Control Protocol）関連の6項目、ICMP（Internet Control Message Protocol）関連の8項目、IP（Internet Protocol）関連の2項目、ARP（Address Resolution Protocol）関連の2項目となっている。具体的には、「SYNパケットにサーバ資源が占有される問題（SYN Flood Attack）」「データを上書きするフラグメントパケットがフィルタリングをすり抜ける問題（Overlapping Fragment Attack）」「ICMPリダイレクトによる送信元詐称の問題」「ARPテーブルが汚染される問題」などとなっている。基本的にはIPv4(Internet Protocol Version 4)環境で検証が可能な項目となるが、一部項目については、IPv6環境での検証も可能となっている。

　貸出対象としては、TCP/IPを実装する製品開発ベンダーであり、法人格を持つ事業体であること、不正使用禁止の「利用許諾条件合意書」に合意することなどが条件となる。費用は無償で、貸出期間は1年間（更新可能）。

《冨岡晶》