HOMEIPAについて新着情報過去年度の記事2012年度プレス発表 「スマートテレビの脆弱性検出に関するレポート」を公開

本文を印刷する

IPAについて

プレス発表 「スマートテレビの脆弱性検出に関するレポート」を公開

4機種のスマートテレビから10件の脆弱性を検出、オープンソースソフトウェアの影響の可能性

2013年3月18日
独立行政法人情報処理推進機構

 IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、「スマートテレビ(*1)」4機種に「ファジング(*2)」を実践し、合計で10件の脆弱性を検出しました。更に、この10件を機能で分類すると、脆弱性があった機能は4つに分類されました。これをうけスマートテレビの製品開発における脆弱性低減のための対策および課題等をレポートにまとめ、公開しました。
URL: http://www.ipa.go.jp/security/vuln/fuzzing.html

 私たちが身近で使用しているテレビ、DVDレコーダー、ゲーム機等の家電製品が、インターネットに接続できる機能を備え、「情報家電」として変容しつつあります。
 総務省がまとめている「通信利用動向調査」によると、家電製品のなかでも特に一般家庭での保有率が高いのがテレビです。そのテレビも例外なく、情報家電としての機能が加わり「スマートテレビ」として進化し、その普及も進んでいます(*3)

 IPAおよび情報家電メーカー数社は、2010年3月から情報家電におけるセキュリティ対策の勉強会を設け、2011年2月、スマートテレビにおける脆弱性などのセキュリティ上の問題および対策の検討を実施して報告書を公開しています(*4)
 調査では11種のファジングツールを用いて、スマートテレビ4機種の6種の機能(別紙:図1プレスリリース本文(PDFファイル) (PDFファイル 280KB))に対してテストを行い、10件の脆弱性を検出しました(別紙:表1プレスリリース本文(PDFファイル) (PDFファイル 280KB))。これらの脆弱性のなかには、悪用されると「スマートテレビが強制的に再起動されてしまう」ものも含まれていました。

 また、脆弱性が検出された4機能を調べたところ、うち3機能でオープンソースソフトウェアが使用されていました。このことから、スマートテレビがオープンソースソフトウェアの脆弱性の影響を受けている可能性がうかがえます。

 なお、今回は商用製品のほか、オープンソースソフトウェアのツール、合計11種類のファジングツールを用いて実施しましたが、ツールにより異なる結果が得られています。ファジング実施にあたっては商用製品だけでなく、オープンソースソフトウェアを含め複数のファジングツールを用いることで検出精度の向上につなげられることが判りました。

本調査の概要

  1. 検査対象 :合計4機種(日本企業の製品2機種、海外企業の製品2機種)
  2. 機能の分類:スマートテレビの機能の利用用途や入力値の特徴などから6つに分類
  3. ツールの数:合計11種
  4. ツール内訳:商用製品のツール2種、オープンソースソフトウェアのツール9種
    (ただし、オープンソースソフトウェアのツールうち、内製品が1ツール)

ファジング活用のポイント

  1. 出来るだけ多くのツールを用いて、異なる手法によるファジングを実施すること
  2. できるだけ多くの機能に対して実施すること

 加えて、今回の調査にもとに「スマートテレビ」を始めとする情報家電の製品開発における脆弱性対策にファジングをご活用いただけるよう、次の2点の資料も公開しました。

(1) 「ファジング実践資料(UPnP(*5)編)」
 今回調査を行った6種の機能のうち、IPAが独自に考案した「機器連携機能」に対するファジング手法をまとめた資料。
 同機能は多種の機器とつながる情報家電には不可欠なものであり、さまざまな情報家電でこの機能に脆弱性が存在する可能性があると考えます。既存のツールをうまく活用することで、この機能における脆弱性の検出に効果が見込めると考え、本書をまとめました。

(2) 「ファジング活用の手引き」第1版第3刷
 2012年3月に発行した同手引きに、今回調査で使用した8種(内製品1ツールを除く)のオープンソースソフトウェアなどのファジングツールを掲載し、合計22種類を紹介しています。

 ファジングに関する各種資料が製品開発現場で活用できるコンテンツが情報家電の製品開発における脆弱性検出の一助となり、脆弱性の低減へつながることを期待します。

プレスリリースのダウンロード

脚注

(*1)本レポートではテレビ放送を視聴できるだけではなく、インターネットや他の情報家電と接続することで、ウェブサイトや静止画などの閲覧や動画の再生などを実現できる多機能なテレビを「スマートテレビ」とよんでいます。

(*2)製品などに何万種類もの問題を起こしそうなデータ(例:極端に長い文字列)を送り込み、製品の動作状態(例:製品が異常終了する)からバグや脆弱性を発見する技術(テスト)です。

(*3)2013年2月時点の価格.com「液晶テレビ 売れ筋ランキング」
http://kakaku.com/kaden/lcd-tv/ranking_2041/)では上位10機種のうち、8機種が「スマートテレビ」でした。

(*4)IPA:情報家電におけるセキュリティ対策 検討報告書
http://www.ipa.go.jp/about/press/20110201.html

(*5)Universal Plug and Playの略称。ネットワークに接続するだけで組込み機器やパソコンなどの機器同士が相互に連携できる仕組み。

本件に関するお問い合わせ先

IPA 技術本部 セキュリティセンター  小林/金野/澤田

Tel: 03-5978-7527 Fax: 03-5978-7518 E-mail:メール

報道関係からの問い合わせ先

IPA 戦略企画部 広報グループ  横山/白石

Tel: 03-5978-7503 Fax: 03-5978-7510 E-mail: メール