IPA、開発者向けにTCP/IP脆弱性検証ツール最新版を無償貸出

 独立行政法人情報処理推進機構(IPA)は2009年1月8日、TCP/IPを実装したソフトウェアの脆弱性検証ツール最新版を開発者向けに貸出開始した。既知の脆弱性を体系的に検証し、再発を防止できるという。費用は無償で、貸出期間は1年間(更新可能)。日本国内の製品開発ベンダーで、法人格を持つ事業体が対象。

 ツールは「TCP/IPに係る既知の脆弱性検証ツール V4.0」で、IPAが同日発表した「TCP/IPに係る既知の脆弱性に関する調査報告書 改訂第4版」記載の25項目の脆弱性のうち19項目(5項目はIPv6対応)を体系的に検証できる。残り6項目の脆弱性検証機能についても順次実装していく予定。

 新たに、IPv4「IPヘッダオプションのデータ長が0のパケットの問題」、IPv6「十分に小さい分割パケットがフィルタリングをすり抜ける問題」「パケット再構築時にバッファが溢れる問題」「ICMPヘッダでカプセル化されたパケットがファイアウォールを通過する問題」が検証可能になった。開発はラック(本社:東京都港区)が担当した。

 申し込みは、電子メールを送ると返信されてくる利用許諾条件合意書に、必要事項を書き込んで郵送する。IPAは記載事項を確認後、ツールを収録したCD-ROMを郵送する。

TCP/IPに係る既知の脆弱性検証ツール V4.0
http://www.ipa.go.jp/security/vuln/vuln_TCPIP_Check.html

TCP/IPに係る既知の脆弱性に関する調査報告書 改訂第4版
http://www.ipa.go.jp/security/vuln/vuln_TCPIP.html

IPA
http://www.ipa.go.jp/

ラック
http://www.lac.co.jp/