HOMEIPAについて新着情報プレス発表 ソフトウェア製品における脆弱性の減少を目指す「脆弱性検出の普及活動」を開始

本文を印刷する

IPAについて

プレス発表 ソフトウェア製品における脆弱性の減少を目指す「脆弱性検出の普及活動」を開始

2011年7月28日
独立行政法人情報処理推進機構

 IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、ソフトウェア製品における脆弱(ぜいじゃく)性の減少を目指す「脆弱性検出の普及活動」を、2011年8月から開始します。

概要

 近年ソフトウェア製品において開発者が認知していない脆弱性(未知の脆弱性)を悪用する攻撃や事件が後を絶ちません。これらの攻撃や事件では、世界中で広く使用されているソフトウェア製品だけでなく、主に日本国内のみで広く使用されているソフトウェア(*1)や、産業用制御システム(*2)なども標的とされています。

 IPAとJPCERT/CC(*3)は2004年7月から、経済産業省の告示の下で「情報セキュリティ早期警戒パートナーシップ(*4)」を運営しており、ソフトウェア製品の脆弱性関連情報の受付と、製品開発者に対するその修正の依頼を実施しています。このパートナーシップ運営開始から7年が経過した2011年6月末時点で、累計1,207件にのぼるソフトウェア製品の脆弱性がIPAに報告されています。報告されたソフトウェア製品の脆弱性の中には、「ファジング」という技術によって発見された脆弱性(主に組込み機器(*5))もあります。

 ファジングは、ソフトウェア製品などに何万種類もの問題を起こしそうなデータ(例:極端に長い文字列)を送り込み、ソフトウェア製品の動作状態(例:製品が異常終了する)から脆弱性を発見する技術です。ファジングは脆弱性検出に有効な技術であり、「情報セキュリティ早期警戒パートナーシップ」において検出の実績がありますが、日本では認知・普及が進んでいないのが実情です。

 このような背景を受け、IPAでは、2011年8月からファジングの有効性の実証および普及の促進を目的とした「脆弱性検出の普及活動」を開始することとしました。この活動では、IPAにて実際にファジングによる脆弱性検出を行うことで知見や実績を蓄積し、2012年第1四半期を目途にそれらを「ファジング活用の手引き」としてとりまとめ、公開する予定です。これにより、ファジングの認知度を向上させその普及を促進します。

 活動開始当初は、利用者が多く、脆弱性があった場合その影響範囲が広くなる組込み機器の完成品を対象にファジングを実施します。この活動で検出した脆弱性は製品開発者に通知します。

 なお、手引き公開後も、脆弱性検出の対象製品を拡充するなど、活動を継続する予定です。

 IPAとしては、ソフトウェア製品のテスト工程にファジングが広く普及することで、組込み機器や国産ソフトウェア製品における脆弱性が減少することを期待します。この取り組みを通じて、IPAは、より安心してソフトウェア製品を使える情報社会の確立に寄与していきます。

脚注

(*1) 日本語ワープロソフト「一太郎シリーズ」に脆弱性が発見されており、それが攻撃に悪用された事例があります。
http://www.ipa.go.jp/about/press/20110616.html

(*2) 2010年7月に制御システムを標的としたコンピューターウイルス「スタックスネット(Stuxnet)」が発見されています。
http://www.ipa.go.jp/about/technicalwatch/20101217.html

(*3) 一般社団法人JPCERTコーディネーションセンター

(*4) 情報セキュリティ早期警戒パートナーシップガイドライン
http://www.ipa.go.jp/security/ciadr/partnership_guide.html

(*5) 機器を制御する専用のコンピューターシステムを搭載した産業機器や家電製品などを指します。本プレスリリースで組込み機器といった場合、特に家電製品を指します。

プレスリリースのダウンロード

本件に関するお問い合わせ先

IPA 技術本部 セキュリティセンター 小林/金野/勝海

Tel: 03-5978-7527 Fax: 03-5978-7518 E-mail: 電話番号:03-5978-7527までお問い合わせください。

報道関係からのお問い合わせ先

IPA 戦略企画部 広報グループ 横山/大海

Tel: 03-5978-7503 Fax: 03-5978-7510 E-mail: 電話番号:03-5978-7503までお問い合わせください。