Mozilla が脆弱性洗い出しツールをリリース？

国際社会の大半において、Web ブラウザはインターネット体験を構成する最も基本的な共通要素だが、それと同時に、最も攻撃を受ける存在の1つでもある。そしてブラウザに攻撃を仕掛けるのは、もはや悪者だけにとどまらない。ブラウザメーカーも攻撃を仕掛ける側に立つ。

オープンソースの Web ブラウザ『Firefox』などを手がける Mozilla Foundation は8月1日、セキュリティに関する年次カンファレンス『Black Hat USA 2007』の席上で、自ら開発したツールを用い、ブラウザを機能不全に陥れる方法を聴衆に説明する。同ツールについては、リリースも予定しており、これはセキュリティに対する取り組みとして、非常に大きな1歩と言える。

同カンファレンスの「Building and Breaking the Browser (ブラウザの構築と破壊)」と題したセッションでは、Mozilla Foundation の営利子会社 Mozilla Corporation の最高セキュリティ責任者 Window Snyder 氏が登壇し、HTTP および FTP などのプロトコル用「fuzzer」や JavaScript 用の「fuzzer」など、複数のセキュリティツールについて説明する見通しだ。これらのツールは、あくまでも Mozilla の Firefox 技術について、安全性を高める目的のものだが、同時に無数の人々を危険にさらす恐れも秘めている。

「fuzzer」とは、ファジング手法のセキュリティ検査実施ツールを指す言葉だ。これは、検査対象に可能性のある攻撃パターンを片っ端から仕掛け、脆弱性の存在を洗い出す手法で、セキュリティ界隈では様々な立場の人間が広く用いている。問題のセッションの概要説明によると、これらツールの少なくとも1つを会場でリリースするという。

Snyder 氏は今年3月に行なった取材のなかで、すでに Mozilla は、あらゆる形のセキュリティ検査ツールと検査手法を、同団体の製品に対して実施していると説明していた。

Snyder 氏はまた、Mozilla のセキュリティに対する取り組みが、将来セキュリティツールとセキュリティ情報に関するオープンソース化に発展する可能性もあると述べた。Mozilla がこのようなツールや情報を公開すれば、Mozilla が懸命に求めている機能性/セキュリティ/情報公開におけるバランスにとって、不可欠な要素になると同氏は指摘した。