ファジングとは?

実績のあるIoT機器のセキュリティ対策として知られているファジング(Fuzzing)ですが、そもそもファジングとは何かご存知ですか?

独立行政法人情報処理推進機構 セキュリティセンター著「ファジング活用の手引き」によると、ファジングとは、「検査対象のソフトウェア製品に『ファズ(英名:fuzz)』と呼ばれる問題を引き起こしそうなデータを大量に送り込み、その応答や挙動を監視することで脆弱性を検出する検査手法」とされています。

つまりファジングとは、ソフトウェアのセキュリティテスト手法の一つで、外部機器(ソフトウェア)のインターフェイスに対して、問題を引き起こしそうなパケットやデータを乱雑かつ網羅的に送り込み対象の状態を確認するブラックボックステストです。

例えば、一般的なソフトウェアテストでは、テストケース毎に期待値と実際のテスト結果を比較します。これに対してファジングは、問題を引き起こしそうなデータ(ファズ)を大量に送り込み、機器の状態を確認するテスト手法となります。

ファジングによる脆弱性検出イメージ

出典:独立行政法人情報処理推進機構(IPA)「ファジング活用の手引き」
https://www.ipa.go.jp/security/vuln/fuzzing/ug65p9000001986g-att/000057652.pdf

ではこのテスト行うことに何の意味があるのでしょうか?
攻撃者は、ファジングのように大量のデータを送り込むことで機器の脆弱性を探し、そこからサイバー攻撃を仕掛けます。

例えば、製品使用したプロトコルに未知の実装漏れがあり、特定のパケットを送り込むことでバッファオーバーフローが発生したら?

例えば、一定時間に想定量以上のパケットを送りこむとキューにタスクが増え続け、サービスが一時的に動作しなくなったら?

例えば、特定のテストケースを送り込むことでシステムがダウンしてしまったら?

それらは、攻撃者にとっては格好の標的となります。IoT化という形で機器がネットワークに繋がり、外部と通信可能になることで、こういった攻撃を受ける可能性が発生します。

攻撃者から攻撃を受ける前に、テストとして攻撃をシミュレーションするテスト手法、それがファジングです。

当社は、拡張性の非常に優れたファジングツールbeSTORMおよび脆弱性検証スキャンツール、独自のスクリプト等を利用した「IoT機器セキュリティ検証サービス」をご提供しています。

※ IoT機器セキュリティ検証サービスで使用しているbeSTORMが、経済産業省 商務情報政策局 サイバーセキュリティ課による「機器のサイバーセキュリティ確保のためのセキュリティ検証の手引き(2021/4/16)」に掲載されました。 詳しくはこちら

より詳しい技術や関連製品について知りたい方へ

お気軽相談

本コラムに関係する技術や関連する製品について知りたい方は、お気軽にご相談ください。


製品情報

デバイス脆弱性テスト

IoT機器セキュリティ検証サービス

あらゆる機器のファジングから規格準拠支援までエキスパートが伴走
製品ページを見る

各国のIoT製品セキュリティ確保のための取り組み: 英国

コラムを読む

ソフトウェアテストの新常識:ファジング入門

コラムを読む

各国のIoT製品セキュリティ確保のための取り組み:欧州

コラムを読む

JIS T 81001-5-1に準拠した医療機器のセキュリティ対策

コラムを読む

各国のIoT製品セキュリティ確保のための取り組み:米国

コラムを読む

サプライチェーン攻撃と脆弱性テスト

コラムを読む

セキュリティ規格について

コラムを読む

脆弱性検証―何をどこまで実施すれば良い?

コラムを読む

HEMS機器の脆弱性検証

コラムを読む

ファジングの限界

コラムを読む