Google、TLS/SSLトラフィックのセキュリティテストツールを公開

オープンソースで公開された「nogotofail」ではTLS/SSL実装に関する既知の脆弱性や設定ミスをチェックできる。

[鈴木聖子，ITmedia]

　「Heartbleed」や「POODLE」といったTLS/SSL絡みの深刻な脆弱性の発覚が相次ぐ中、米Googleは11月4日、TLS/SSL実装に関する既知の脆弱性や設定ミスをチェックできるネットワークトラフィックセキュリティテストツール「nogotofail」をオープンソースで公開した。

　GoogleはTLS/SSLの現状について、ほとんどのプラットフォームやデバイスはデフォルトの状態ではセキュアでも、アプリケーションやライブラリによってデフォルトが書き換えられて改悪されたり、プラットフォームでミスが生じたりする場合もあると指摘する。

　アプリケーションの複雑化やサードパーティーライブラリの使用増加に伴い、こうしたミスは一層導入されやすくなっているという。

　nogotofailは以前からGoogle社内で使っていたツールで、こうした現状に対応して、TLS/SSLの普及と正しい実装を促す目的で公開することにしたとGoogleは説明する。

　同ツールでは開発者やセキュリティ研究者がデバイスやアプリケーション上で脆弱なTLS/SSL接続や平文トラフィックなどの問題を検出して修正できる。OSはAndroid、iOS、Linux、Windows、Chrome OS、OSXに対応する。