セキュリティテスト手法 ファジング による脆弱性低減を! ~ 外部からの脅威に対し 製品出荷前に対策強化するために ~ 2016 年 5 月 12 日独立行政法人情報処理推進機構技術本部セキュリティセンター情報セキュリティ技術ラボラトリー鹿野一人 1

セキュリティテスト手法「ファジング」による脆弱性低減を！

～外部からの脅威に対し、製品出荷前に対策強化するために～

2016年5月12日

独立行政法人情報処理推進機構

技術本部 セキュリティセンター

情報セキュリティ技術ラボラトリー

鹿野 一人

アジェンダ

•

ネットワークに繋がる機器たち

•

ファジングとは

•

ファジングによる効果

•

まとめ

•

IPAのファジングに関する取組み

ネットワークに繋がる機器たち(1/4)

～注目されているIoT～

•

さまざまな機器がネットワークに繋がる時代

–

ネットワークは誰でも繋がる

–

悪意あるユーザがネットワークに居ないとは限らない

インター

ネット

IoT

ネットワークに繋がる機器たち(2/4)

～製品の被害事例～

•

ネットワークにつながっているため、攻撃を

受ける可能性がある

•

組込み製品の脆弱性による被害事例

•

修正版を公開しても、利用者が対応する手間がかかる

年月

製品種別 問題概要／関連情報

2012年1月

IPカメラ

IPカメラに認証なしで撮影している映像を

閲覧できる問題があり、対象となるIPカメラ

でインターネット上からアクセスできる台数

は数千台にのぼっていた。

2014年11月 ルータ

ルータの脆弱性を悪用して、インターネット

接続に必要な ID とパスワードを不正に入

手され、悪用されていた。

ネットワークに繋がる機器たち(3/4)

～出荷後の脆弱性対策事例～

出展元 日本経済新聞

ネットワークに繋がる機器たち(4/4)

～従来のテストを補う「ファジング」～

•

製品出荷前に、できるだけ不具合を取除きたい

–

品質の向上

–

修正コストの削減

•

バグや脆弱性を調査するテストとしてオススメ

するのが

「ファジング」

..など

•

一般の使用では考えられない、問題が起きそうな

細工をしたデータを検査対象に送る

..など

•

細工したデータを送り、製品の応答や動作を監視し

て、製品に問題が発生しないかを検査する

ファジングとは（1/3）

～どのようなテストか～

ファズ

（Fuzz）

AAAAAAAAAAAAAAAAAAAAAAAAAA

%s%s%s%s%s%s%s%s%s%s%s%s%

•

自動販売機

–

お金を入れたら飲み物が出る

–

飴玉をいれたら、どうなるか

９

正常な動作を確認

異常な動作を確認

一般的な動作テスト

（機能テストなど）

ファジング

ファジングはブラックボックステストの一種

ファジングとは（2/3）

～別のものに置き換えてみると～

ファジングとは（3/3）

～多種多様なデータと製品～

ファイル

・文書

・音楽

・画像

etc

パラメータ

入力データ

_入力対象

通信

ソフトウェア

・文書作成

・音楽再生

・画像表示

etc

・実行オプション

・URL

etc

・TCP/IP

・UPnP

・無線

etc

_通信機器

・ルータ

・テレビ

・Bluetooth

etc

・実行コマンド

・Webサイト

etc

パケット

多種多様な入

力データと、

多種多様な入

力データを受

付ける製品の

増加

ファジングによる効果（1/8）

～未知のバグや脆弱性の発見～

•

一般的な機能テストでは、発見が難しいバグや未

知の脆弱性などを、ファジングで検出できる

一般的な機能テスト①～③

では、発見が難しいバグや

未知の脆弱性が残る

ファジングを追加すると、

発見が難しいバグや未

知の脆弱性が少なくなる

•

ツールによる自動的なテスト

–

多種多様なデータの生成、送信を自動で行う

–

手動で同様のテストを実施する場合に比べ、細工し

たデータの作成や送信等の工数を抑える

ファジングによる効果（2/8）

～自動的なテスト～

ファジングによる効果（3/8）

～ 「脆弱性検出」に活用できている例～

•

Mozillaプロジェクト：ファジングによる脆弱性

発見

ファジングによる効果（4/8）

～「バグ出し」に活用できている例～

•

Microsoft 社の事例ではファジングでバグを

1800件検出

ファジングによる効果（5/8）

～ファジングの研究開発～

富士通研究所

富士通株式会社

「本研究を採用したファジング

テストツールはすでに稼働して

おり、富士通で開発中の複数

の製品の脆弱性を検出し製品

出荷前の対策を実現しました。」

ファジングによる効果（6/8）

～学術機関による研究動向～

•

次世代の通信プロトコルCAN FDに対するファジング技術

–

「CAN-FD（CAN with Flexible Data rate）」は、現在(車載機器に関

して)デファクトスタンダードとなっているCANを拡張したプロトコル

–

CAN-FDに関して、ファジングツール「beSTORM」を拡張してCAN-FDに対応させる際の実装方法とその性能評価の報告を行っていた

ファジングによる効果（7/8）

～

メリット

：改修費用を抑える～

•

製品の品質を向上させ、改修費用などを抑える

ファジングを

実施していない

ファジングを

実施している

ファジング導入・

運用費用など

バグや脆弱性の

改修費用など

費用

安

高

費用概要：

製品や企業規模によって異なる

ため、製品開発企業ごとに違う。

極端な例では、

_{120億円掛かって}

しまった事例もある。

一般的に商用製品では、数百万

から数千万円の導入費用、その

何割かの保守費用が掛かる。

上図：バグ・脆弱性の改修費用

下図：ファジング導入、運用に掛かる費用

詳細は「製品の品質を確保する「セキュリティテスト」に関するレポート」を参照：

1.1 ファジングの概要

•

初期費用・運用費用がかかる

–

ファジングを実施する人材の確保・育成

–

ファジングツールの購入費用

（フリーのツールも存在するため、購入費用は抑え

ることが可能）

1.1 ファジングの概要

ファジングによる効果（8/8）

～

デメリット

：改修費用を抑える～

まとめ

～ファジング活用のご提案～

•

ファジングを活用すると、従来のテストから網

羅性を高めて、

製品の品質確保に効果がある

–

大手ソフトウェア企業を中心に活用実績もある

–

IPAでも脆弱性検出に効果があることを実証済み

安全な製品を提供していくために

ファジング

の導入をご検討ください

ファジング活用へご案内

•

もっと「ファジング」を知りたい方は

–

IPAの「ファジング」関連資料をご活用ください

https://www.ipa.go.jp/security/vuln/fuzzing.html

•

「ファジング活用の手引き」

•

「スマートテレビの脆弱性検出のレポート」

•

「ファジング実践資料（実践編・UPｎP編・テストデータ編）」

•

「製品の品質を確保する『セキュリティテスト』に関するレポート」

–

組み込み製品の脆弱性対策映像コンテンツ

https://www.ipa.go.jp/security/keihatsu/videos/index.html#eng

•

組込み製品の脆弱性が及ぼす影響 ～製品開発企業はどうすれば～

•

組込み製品の脆弱性対策に ～知ってみよう ファジング～

–

JPEG テスト支援ツール「iFuzzMaker」

https://www.ipa.go.jp/security/vuln/iFuzzMaker/

「ｉパス」は、ITを利活用する

すべての社会人・学生が備えておくべき

ITパスポート公式キャラクター

上峰亜衣（うえみねあい）

ご清聴ありがとうございました

お問い合わせ先：[email protected]