HOMEIPAについて新着情報プレス発表 ファジングによる脆弱性検出の有効性の実証結果の公開

本文を印刷する

IPAについて

プレス発表 ファジングによる脆弱性検出の有効性の実証結果の公開

2012年3月27日
独立行政法人情報処理推進機構

 IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、ソフトウェア製品における脆弱(ぜいじゃく)性の減少を目指す「脆弱性検出の普及活動(*1)」において、ブロードバンドルーター(*2)6機種に「ファジング」を実践したところ、3機種で合計6件の脆弱性を検出できました。この実証結果を基に、ファジングを行う際のノウハウや知見をまとめ、「ファジング活用の手引き」として2012年3月27日(火)からIPAのウェブサイトで公開しました。
URL: http://www.ipa.go.jp/security/vuln/fuzzing.html

 ソフトウェア製品に内在している脆弱性(未知の脆弱性を含む)を検出する技術の一つにファジング(Fuzzing)があります。ファジングは、ソフトウェア製品などに何万種類もの問題を起こしそうなデータ(例:極端に長い文字列)を送り込み、ソフトウェア製品の動作状態(例:製品が異常終了する)から脆弱性を発見する技術です。米マイクロソフト社など国外の大手IT企業ではソフトウェア製品の開発ライフサイクル(*3)にファジングを導入し、製品出荷前の脆弱性検出に活用していますが、日本では認知・普及が進んでいないのが実情です。これをうけ、2011年8月からIPAはファジングの有効性の実証および普及の促進を目的とした「脆弱性検出の普及活動」を開始しました。
 この一環として2011年12月から2012年2月の間に、ブロードバンドルーター6機種(*4)にファジングを実践したところ、3機種で合計6件の脆弱性を検出しました。今回の実証では、実証前にファジングツールとそれらが送る問題を起こしそうなデータなどを事前に決めておき、その取り決めにしたがい、6機種のブロードバンドルーターに淡々とファジングを実践することで、脆弱性を検出できました。担当者の知識によらず、テストパターンによって脆弱性を機械的に検出できることから、ファジングが脆弱性検出に有効な技術であることを実証できました。

 検出した脆弱性の中には、ブロードバンドルーターのLAN側から「ブロードバンドルーターを強制的に再起動させてしまう」脆弱性もありました。この脆弱性を悪用されると、一時的にブロードバンドルーターを介したインターネット接続ができなくなります(*5)。ただし、この脆弱性のあるブロードバンドルーターに対して、インターネット側からの攻撃はできなかったことから、悪用される可能性は低いと考えます。
 ブロードバンドルーターでは、「強制的に再起動させてしまう」脆弱性を悪用されても大きな被害につながりにくいですが、停止することが許されないネットワーク機器(例:制御システム)でこの脆弱性が悪用された場合、その被害はより大きなものとなります。ファジングでは、このように深刻度の高い脆弱性も検出できました。

 今回の実証では、商用製品1種類、オープンソースソフトウェアなど2種類のファジングツールを使用し、オープンソースソフトウェアのファジングツールで検出できた脆弱性もありました。特にオープンソースソフトウェアのファジングツールを使ったファジングは1日程度で完了しており、製品開発企業でまだファジングを導入していない場合、まずはオープンソースソフトウェアのファジングツールを取り入れるだけでも、第三者が容易に発見できてしまう脆弱性を検出することが期待できます。
 IPAは今回の実証で得たノウハウや知見を基に、「どんな脆弱性を検出できるのか」、「実際にどのようにファジングを実践すればよいか」などファジングを実践するために必要な知識を「ファジング活用の手引き」と別冊資料「ファジング実践資料」にまとめました。
 「ファジング活用の手引き」(全44ページ)と「ファジング実践資料」(全44ページ)は、次のURLよりダウンロードできます。
 http://www.ipa.go.jp/security/vuln/fuzzing.html

 2012年度以降もIPAは「脆弱性検出の普及活動」を継続し、インターネットにつながるデジタルテレビなどの情報家電にもファジングを実践して、ファジングの有効性をさらに実証していきます。また検出した脆弱性を適宜製品開発者に連絡し、脆弱性の修正を促進していきます。
 IPAとしては、「ファジング活用の手引き」と「ファジング実践資料」が広くソフトウェア製品開発者に閲読され、ソフトウェア製品開発ライフサイクルへのファジング導入につながり、ソフトウェア製品の脆弱性が減少することを期待します。

脚注

(*1)ソフトウェア製品における脆弱性の減少を目指す「脆弱性検出の普及活動」を開始
http://www.ipa.go.jp/about/press/20110728.html

(*2)複数のパソコンなどをインターネットに接続するためのネットワーク機器。主に家庭や小規模オフィスのパソコンをインターネットに接続する目的で使われます。

(*3)ソフトウェア製品における企画から開発、運用、廃棄(使用終了)までの一連の流れを、大きな作業のかたまり(プロセス)に分けて考える開発モデル。各プロセスには「開発」や「テスト」などがあります。

(*4)市販製品の中で広く普及しており、扱いやすい組込み機器(機器を制御する専用のコンピューターシステムを搭載した家電製品など)としてブロードバンドルーターを選定しました。

(*5)厳密に脆弱性を分析すると、ブロードバンドルーター上で悪意のあるコードを実行できる可能性があります。しかし、IPA では詳細な分析を実施していません。

プレスリリースのダウンロード

本件に関するお問い合わせ先

IPA 技術本部 セキュリティセンター 小林/金野/勝海

Tel: 03-5978-7527 Fax: 03-5978-7518 E-mail: 電話番号:03-5978-7527までお問い合わせください。

報道関係からのお問い合わせ先

IPA 戦略企画部 広報グループ 横山/大海

Tel: 03-5978-7503 Fax: 03-5978-7510 E-mail: 電話番号:03-5978-7503までお問い合わせください。