米Hewlett-Packard(HP)は米国時間2009年3月23日,Flash対応Webアプリケーションのセキュリティ確保を支援する無償のオンライン・ツール「HP SWFScan」を発表した。Flash関連の開発者がより安全なアプリケーションを構築できるようにするとしている。
HP SWFScanは,米Adobe Systemsのコンテンツ配信プラットフォーム「Adobe Flash Platform」をベースに開発したアプリケーションをデコンパイルし,静的解析を行って,振る舞いを解釈する。これにより,表面上は分からなかった問題や,従来の動的手段では見つからなかった脆弱性を特定できるという。
悪意のあるハッカーなどから狙われる可能性のある脆弱性をチェックし,機密情報の漏洩,クロスサイト・スクリプティング攻撃,クロスドメインの権限昇格といった問題を招く危険性を排除する。ソースコード内に見つかった脆弱性をハイライト表示し,問題解決の手段を提案する。セキュリティのベスト・プラクティスやガイドラインに添っているか検証することも可能。
HPは,インターネット接続環境にあるパソコンの98%以上がFlash Playerをインストールしていることから,「Flash技術を利用したWebアプリケーション開発のセキュリティを確保することは急務だ」と述べている。HPが約4000にのぼるFlash対応Webアプリケーションを分析したところ,35%がAdobeのセキュリティ・ベスト・プラクティスに違反していたという。
HP SWFScanは,同社のセキュリティ研究開発グループが開発した。同社のWebサイトを通じて入手できる。
[発表資料へ]
