HOMEIPAについて新着情報プレス発表 脆弱性の問題を意図的に発生させるテスト方法等を解説した資料を公開

本文を印刷する

IPAについて

プレス発表 脆弱性の問題を意図的に発生させるテスト方法等を解説した資料を公開

情報家電等組込み製品の開発事業社向けに、最適なツールや検出テストのノウハウ等を紹介

2013年11月7日
独立行政法人情報処理推進機構

 IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、情報家電等の製品の脆弱性を検出するテスト(以後、ファジング)の方法を実例と共に解説した「ファジング実践資料(テストデータ編)」を2013年11月7日からIPAのウェブサイトで公開しました。
 URL:http://www.ipa.go.jp/security/vuln/fuzzing.html

 サイバー攻撃の多くはソフトウェアの脆弱性を狙ったもので、ソフトウェアによって様々な機能を備えた家電製品、およびソフトウェア制御が進む自動車などにも脆弱性は存在します。これらはネットワーク接続などによる外部データの活用でさらに高付加価値が進められている反面、脆弱性を狙った攻撃の危険性が高まっています。
 こうした製品にはソフトウェアが出荷時に組み込まれており、消費者の手に渡った後の更新が難しく、それゆえの影響も懸念されています。

 そのため製品出荷前の脆弱性検出と解消が重要で、検出にはファジングという手法が有効です。IPAではこれまで様々なファジングツールを用いた実証とその結果を公表するなどの普及を図ってきました。しかし効率的、効果的な検出には意図的に問題を起こさせる脆弱性検出のノウハウが必要なことから、IPAではファジングを行っている組込み製品等の製品開発事業社向けに、「ファジング実践資料(テストデータ編)」をまとめ、11月7日から公開しました。
 URL:http://www.ipa.go.jp/files/000035160.pdf

 脆弱性が製品の"「どこ」に「どのように」"存在するのか予見することは困難です。例えば「JPEG画像を読み込む機能」に存在する脆弱性の場合、「GPS等の位置情報を読み込む部分」や、「画像のサイズ情報を読み込む部分」というように、同じ機能でも脆弱性の存在箇所や可能性は多様であるといえます。
 したがって、少しでも多くの脆弱性を検出するには、専用のテストツールで問題を起こしそうな様々なデータ(以後、テストデータ)を可能な限り多く、送り込むことが効果的です。

 しかし、ツールがどのようなデータを作っているのか、一般にはその仕組みは"ブラックボックス"の状態であることや、ツールごとにテストデータが固有であることが、多種多様な脆弱性を網羅的に検出することを難しくしています。

 そこで今回公開した資料ではテストツールの適切な選定の参考となるよう、「TCPパケット(*1)」「HTTPリクエスト(*2)」「JPEG画像(*3)」等のデータを用い、「データの『どこ』を『どのように』変えると、テストできるのか」などについて解説しています。

 こうしてテストデータへの理解が深まると、最適なファジングツールを自作し、既存ツールでは検出できない脆弱性の検出も可能になります。

 この資料により、様々なファジングツールの効果的な活用と、脆弱性の低減を期待します。

 またIPAではこれに併せて、製品出荷前の脆弱性検出の重要性を説く映像コンテンツ2点を同時公開します。詳細は別紙1をご覧ください。

脚注

(*1) ウェブサイトの閲覧など、インターネットを介してやりとりされるデータの標準的な通信手順TCP(Transmission Control Protocol)に則った通信上のデータ単位(パケット)を指します。

(*2) ウェブサイトを閲覧するときに閲覧者側のウェブブラウザ(「Internet Explorer」や「Mozilla Firefox」など)からウェブサイト側に送るデータです。ウェブサイトのURLやウェブブラウザの情報などが含まれます。

(*3) 画像を表すデータの一つで、デジタルカメラやスマートフォンで撮影した画像はこのファイル形式で保存されます。

プレスリリースのダウンロード

本件に関するお問い合わせ先

IPA 技術本部 セキュリティセンター  金野/勝海/板橋

Tel: 03-5978-7527 Fax: 03-5978-7518 E-mail:メール

報道関係からの問い合わせ先

IPA 戦略企画部 広報グループ  横山/白石

Tel: 03-5978-7503 Fax: 03-5978-7510 E-mail: メール