HOME情報セキュリティ情報セキュリティ対策脆弱性対策JPEG テスト支援ツール iFuzzMaker - FAQ

本文を印刷する

情報セキュリティ

JPEG テスト支援ツール iFuzzMaker - FAQ

最終更新日:2014年4月22日

トップ ダウンロード FAQ

質問一覧

回答一覧

  1. iFuzzMaker とは何ですか?
  2. iFuzzMakerとは、問題を引き起こしそうな値を含んだJPEG画像(テストデータ)を機械的に生成するツールです。iFuzzMakerで生成したJPEG画像(テストデータ)は、製品の脆弱性を検出するテスト「ファジング」に利用できます。

  3. iFuzzMaker でできることは何ですか?
  4.  iFuzzMakerは以下のことを実現できます。

    • ファジングに利用可能な、問題を引き起こしそうな値(テスト値)を含んだJPEG画像(テストデータ)を生成します。
    • テストデータ生成ルールを書き換えることにより、どのようなテスト値を含んだテストデータを生成するかを自由に設定できます。
  5. iFuzzMaker は無償で使用できるのですか?
  6. iFuzzMaker は無償で提供しています。利用を希望される場合は、PDF形式利用規約の内容に同意いただき、ダウンロードして利用することが出来ます。

  7. iFuzzMaker の再配布や改造について教えてください。
  8. iFuzzMaker はBSD License(The BSD 3-Clause License )及びCPOL(The Code Project Open License )のもと配布されており、再配布および改造が許可されています。PDF形式利用規約の内容に反しない限り、再配布および改造することが出来ます。

  9. iFuzzMaker が動作する環境を教えてください。
  10. 以下はIPAにて確認したiFuzzMakerの動作環境とコンパイル環境です。同等の環境であれば、動作するものと考えます。

    iFuzzMaker の動作環境
    OS Windows 7 SP1(32bit)
    Windows 7 SP1(64bit)
    Windows 8(32bit)
    CPU 1GHz以上のx86互換プロセッサ
    メモリ 1GB以上の空きメモリ
    HDD 1GB以上の空き領域

    ソースコードのコンパイル環境
    OS Windows 7 SP1(32bit)
    Windows 7 SP1(64bit)
    Windows 8(32bit)
    開発言語 Microsoft Visual Studio 2010 Visual C++(MFCを使用)

  11. iFuzzMaker では、どのような脆弱性を検出できますか。
  12. JPEG 画像を閲覧する機能において、Exif タグの情報を取り扱う部分の脆弱性を検出できます。ただし、脆弱性を検出できるかどうかは、利用者が指定した「テストデータ生成ルール」次第となります。

    例を挙げながら説明します。JPEG 画像を閲覧する機能のうち、Exif タグの位置情報を読み込む部分に脆弱性があると仮定します。この場合、Exif タグの位置情報に問題を起こしそうなデータを設定した JPEG 画像をその機能に読み込ませると、その脆弱性を検出できます。このような JPEG 画像を iFuzzMaker で作るとすると、「テストデータ生成ルール」に Exif タグの位置情報に問題を起こしそうなデータを設定するルールを書く必要があります。こういったルールを書いていない場合、iFuzzMaker が作ったテスト JPEG 画像では、Exif タグの位置情報を読み込む部分の脆弱性を検出できません。

    利用者が指定した「テストデータ生成ルール」次第で脆弱性を検出できるかどうかが決まることから、iFuzzMaker は脆弱性の検出を保証するものではありません。

  13. iFuzzMaker の使い方を教えてください。
  14. まず、iFuzzMaker の付属操作手順書をご参照ください。万一、付属操作手順書を読んでも使い方で分からない点がございましたら、お問い合わせ様式にしたがってご不明な点をお問い合わせください。

  15. iFuzzMaker の「テストデータ生成ルール」にはどのようなルールを書けばいいですか。
  16. テスト対象となる製品ごとに異なるため、利用者のテストに合わせたルールを書いてください。

    テスト対象となる製品が Exif タグの一部の情報しか読み込まない場合、その Exif タグに問題を起こしそうな値を設定するルールを書くことができます。また、対象製品が製品開発者が独自に定義した Exif タグを使う場合、その Exif タグをテストできるルールを書く必要があります。このようにテスト対象となる製品に合わせたルールを書いてください。

    iFuzzMaker には、「テストデータ生成ルール」のサンプルを付属しています。付属マニュアルを参照しながら、このサンプルをご確認いただき、テストに合わせたルールを書いてください。なお、このサンプルで使用している「問題を起こしそうなデータ」は、オープンソースソフトウェアのファジングツール「Taof」が採用しているデータを参考にしております。このデータについては、「ファジング実践資料」をご確認ください。

  17. 今後の iFuzzMaker の開発スケジュール(バージョンアップや修正など)を教えてください。
  18. iFuzzMaker についてはすでに開発を終了しているため、今後バージョンアップや修正などの予定はございません。iFuzzMaker をオープンソースソフトウェアとして公開しておりますので、利用者自身でソースコードを修正いただき、機能拡張などを実施していただければ幸いです。

  19. iFuzzMaker にバグを発見してしまいました。IPA で修正してもらえませんか。
  20. 誠に申し訳ございませんが、iFuzzMaker についてはすでに開発を終了しているため、IPA で修正する予定はございません。iFuzzMaker をオープンソースソフトウェアとして公開しておりますので、よろしければ利用者自身でそのバグを修正いただければ幸いです。

    ただし、次のような場合、別途 IPA で修正することを検討させていただきます。

    • iFuzzMaker に脆弱性が発見された場合

更新履歴

2014年4月22日 動作環境を更新
2013年7月30日 本ページを公開