Mozillaは、Black Hatカンファレンスの場でFirefox用のJavaScript Fuzzerをリリースする。
オープンソース財団のMozillaでは、Firefoxブラウザの開発を通じて培った知識を、一連のオープンソースツールの形で提供する方針だ。その第1弾となるJavaScript Fuzzerは、ラスベガスで開催されるイベント「Black Hat」カンファレンスで8月2日にリリースされる。
Mozillaのセキュリティ責任者を務めるウィンドウ・シュナイダー氏が米eWEEKに明らかにしたところによると、同氏はMozillaにおけるセキュリティの取り組みを詳細に説明する予定だという。「こういった詳細な説明を既存ベンダーから聞くことはできない」とシュナイダー氏は話す。「Mozillaは全世界から注視されている。われわれは隠したいと思っても隠すことができないのだ」。
シュナイダー氏はMozillaで働くようになる前は、セキュリティコンサルタントの仕事をしていた。同氏によると、セキュリティテストプロセス、セキュリティツール、基準策定手段などに関して、人々が何度も同じことを一からやり直しているのを目の当たりにしたという。そして同氏が知った事実の1つは、セキュリティ担当者を置く余裕のない小規模企業では、セキュリティ情報を入手するのに苦労しているということだった。
このためシュナイダー氏がMozillaに入ったとき、こういった苦労をしている人々の役に立つことをやろうと決心したという。「Mozillaの場合、世界中の人々がわれわれの仕事を見ることができる。それならば、われわれの仕事をパッケージにして公開し、それについてフィードバックを受けたり、人々に協力してもらったりすれば、それらを次のプロジェクトで生かすことができると考えた」と同氏は語る。
Mozillaが8月2日にリリースするJavaScript Fuzzerは、これまでにFirefoxで数十もの脆弱性を検出した。シュナイダー氏によると、このツールは修正することができ、JavaScriptを採用したほかの技術に組み込んだり、組み合わせたりして利用することが可能だという。
「人々がこれは役立つと思ってくれるのを願っている」とシュナイダー氏は話す。
ファザーというのは、アプリケーションが想定していないような方法でデータをアプリケーションに送り込むツールである。データとフィールドの組み合わせをさまざまな方法で操作した多数のテストケース(何百万ものテストケースになる場合もある)でファザーを試すことができる。このツール自体には危険性はないが、入力データの検証で予想外の動作が発生する部分――脆弱性を特定する手がかりにもなる――を発見するのにも利用することができる。
Mozillaでは数カ月中に、クライアントサイドのHTTP用のプロトコルファザー、そしてやはりクライアントサイドのFTP用のファザーをリリースし、その後もさらに多くのツールをリリースしていく予定だという。
Mozillaは既に5月の時点で、関連するリスクにさらされる恐れがあると同社が判断した製品を提供している企業にJavaScript Fuzzerを開示している。これらの製品を攻撃する方法についてMozillaが知っていることが世界に知れ渡る前に、大手ベンダーにそれを知らせる必要があると同社が考えたためだ。これらのベンダーには、Apple、Microsoft、Operaなどの企業が含まれる。
シュナイダー氏によると、これに対してMozillaに謝意を表明したのは1社だけだった。同ツールの有用性に関してMozillaが期待していたフィードバックを提供した企業はなかったという。
Black Hatにおけるプレゼンテーションでシュナイダー氏は、Mozillaが実施したプロセスやセキュリティチームによるバグの洗い出し作業など、JavaScript Fuzzerに関して詳細な説明を行う。さらに同氏は、今秋にリリースが予定されている「Firefox 3.0」のセキュリティ機能についても説明する予定だという。
Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.