ファジングとは?
実績のあるIoT機器のセキュリティ対策として知られているファジング(Fuzzing)ですが、そもそもファジングとは何かご存知ですか?
独立行政法人情報処理推進機構 セキュリティセンター著「ファジング活用の手引き」によると、ファジングとは、「検査対象のソフトウェア製品に『ファズ(英名:fuzz)』と呼ばれる問題を引き起こしそうなデータを大量に送り込み、その応答や挙動を監視することで脆弱性を検出する検査手法」とされています。
つまりファジングとは、ソフトウェアのセキュリティテスト手法の一つで、外部機器(ソフトウェア)のインターフェイスに対して、問題を引き起こしそうなパケットやデータを乱雑かつ網羅的に送り込み対象の状態を確認するブラックボックステストです。
例えば、一般的なソフトウェアテストでは、テストケース毎に期待値と実際のテスト結果を比較します。これに対してファジングは、問題を引き起こしそうなデータ(ファズ)を大量に送り込み、機器の状態を確認するテスト手法となります。
出典:独立行政法人情報処理推進機構(IPA)「ファジング活用の手引き」
(https://www.ipa.go.jp/security/vuln/fuzzing/ug65p9000001986g-att/000057652.pdf )
ではこのテスト行うことに何の意味があるのでしょうか?
攻撃者は、ファジングのように大量のデータを送り込むことで機器の脆弱性を探し、そこからサイバー攻撃を仕掛けます。
例えば、製品使用したプロトコルに未知の実装漏れがあり、特定のパケットを送り込むことでバッファオーバーフローが発生したら?
例えば、一定時間に想定量以上のパケットを送りこむとキューにタスクが増え続け、サービスが一時的に動作しなくなったら?
例えば、特定のテストケースを送り込むことでシステムがダウンしてしまったら?
それらは、攻撃者にとっては格好の標的となります。IoT化という形で機器がネットワークに繋がり、外部と通信可能になることで、こういった攻撃を受ける可能性が発生します。
攻撃者から攻撃を受ける前に、テストとして攻撃をシミュレーションするテスト手法、それがファジングです。
当社は、拡張性の非常に優れたファジングツールbeSTORMおよび脆弱性検証スキャンツール、独自のスクリプト等を利用した「IoT機器セキュリティ検証サービス」をご提供しています。
※ IoT機器セキュリティ検証サービスで使用しているbeSTORMが、経済産業省 商務情報政策局 サイバーセキュリティ課による「機器のサイバーセキュリティ確保のためのセキュリティ検証の手引き(2021/4/16)」に掲載されました。 詳しくはこちら
このコラムの著者
株式会社ユビキタスAI
エンベデッド第3事業部
永井 玲奈​(ながい れな)
長年、組込みソフトウェアの営業・製品マーケティングに携わる。現在はユビキタスAIでIoT機器セキュリティ検証サービス事業の営業およびプロダクトマーケティングを担当。医療機器、車載製品、民生品などあらゆる機器を製造する大手製品ベンダーの多岐に渡るセキュリティ課題解決に取り組む。
より詳しく技術や関連製品について知りたい方へ
本コラムに関係する技術や関連する製品について知りたい方は、お気軽にご相談ください。
各国のIoT製品セキュリティ確保のための取り組み:シンガポール ―サイバーセキュリティラベリングスキーム(CLS)
2024.11.11
各国のIoT製品セキュリティ確保のための取り組み:欧州
2024.10.23
太陽光発電と蓄電池システムの脆弱性:安全なエネルギーのためのセキュリティ対策
2024.10.08
各国のIoT製品セキュリティ確保のための取り組み:日本
2024.10.03
もう待てない、サイバーレジリエンス法対策
2024.09.17
各国のIoT製品セキュリティ確保のための取り組み: 英国
2024.04.18
ソフトウェアテストの新常識:ファジング入門
2024.04.17
JIS T 81001-5-1に準拠した医療機器のセキュリティ対策
2023.12.19
各国のIoT製品セキュリティ確保のための取り組み:米国
2023.12.18
サプライチェーン攻撃と脆弱性テスト
2023.12.14
セキュリティ規格について
2023.09.01
脆弱性検証―何をどこまで実施すれば良い?
2023.09.01
HEMS機器の脆弱性検証
2023.07.14
ファジングの限界
2023.07.14