写真提供:マイナビニュース

写真拡大

ソフトウェアの脆弱性は、なかなか無くならない。膨大なコードの組み合わせで作られるソフトウェアには、常に未知の脆弱性が存在する可能性がある。脆弱性の情報は、セキュリティベンダーの研究者やソフトメーカーや個人の開発者たちなど、日本を含む世界各地の貢献者たちの尽力で発見されることも多い。

Googleのセキュリティチームは、広く彼らが開発時に利用しているソフトウェアで使われる暗号における(既知の)脆弱性のチェックツールを「Project Wycheproof」としてGitHubに公開している(Googleの公式プロダクトとしてではなく)。プロジェクト「Project Wycheproof」のイントロダクションには、着実な暗号の理解には、何十年にわたる学術論文の深い理解を要すると、その難しさが述べてある。Googleのような世界各地でITサービスを提供する企業のチームであっても、セキュリティの難しさに骨を折りながら開発を進めている。

IPA(独立行政法人情報処理推進機構)セキュリティセンターは21日、PCにインストールされた汎用的に利用されるソフトが最新かどうかをチェックできるツール「MyJVN バージョンチェッカ」にGoogle Chrome、iTunes、LibreOfficeと利用者が多い3ソフトを追加した。

2009年11月に公開された同ツールには、脆弱性対策情報データベース「JVN iPedia」の情報を利用し、Adobe Flash PlayerやAdobe ReaderやJRE(Java Runtime Environment)などアップデート更新頻度の高いソフトを中心に16ソフトが対象となっている。チェッカーは各WindowsOSのJRE版/.NET Framework版のクライアント端末用が用意されており、JRE版にはApache HTTP ServerやApache Tomcat、BINDなどサーバサイドで利用されるツールが対象となっている。

JRE/.NETがインストール済みの環境下において、チェッカをダウンロードしてダブルクリックで起動すると、「MyJVN バージョンチェッカ」が起動。[実行]ボタンを押すと、PC内にある対応ソフトの状況を知らせてくれる。「×最新バージョンではありません」と表示されたソフトウェアの結果詳細をクリックすると、ダウンロード先やバージョンアップ方法が記されたJVN iPedia内のページへのリンクを辿って最新のアップデートをインストールできる。

また、起動時に自動実行させるバッチファイルも公開しており、スタートアップフォルダに設置することで起動時の実行や時間指定待機後の起動など毎日の忘れないチェック体制も構築できるようになる。

(長岡弥太郎)