ニュース製品ニュース技術コラム
2023年09月01日
株式会社ユビキタスAI
ファジングとは?
実績のあるIoT機器のセキュリティ対策として知られているファジング(Fuzzing)ですが、そもそもファジングとは何かご存知ですか?
独立行政法人情報処理推進機構 セキュリティセンター著「ファジング活用の手引き」によると、ファジングとは、「検査対象のソフトウェア製品に『ファズ(英名:fuzz)』と呼ばれる問題を引き起こしそうなデータを大量に送り込み、その応答や挙動を監視することで脆弱性を検出する検査手法」とされています。
つまりファジングとは、ソフトウェアのセキュリティテスト手法の一つで、外部機器(ソフトウェア)のインターフェイスに対して、問題を引き起こしそうなパケットやデータを乱雑かつ網羅的に送り込み対象の状態を確認するブラックボックステストです。
例えば、一般的なソフトウェアテストでは、テストケース毎に期待値と実際のテスト結果を比較します。これに対してファジングは、問題を引き起こしそうなデータ(ファズ)を大量に送り込み、機器の状態を確認するテスト手法となります。

出典:独立行政法人情報処理推進機構(IPA)「ファジング活用の手引き」
(https://www.ipa.go.jp/security/vuln/fuzzing/ug65p9000001986g-att/000057652.pdf )
ではこのテスト行うことに何の意味があるのでしょうか?
攻撃者は、ファジングのように大量のデータを送り込むことで機器の脆弱性を探し、そこからサイバー攻撃を仕掛けます。
例えば、製品使用したプロトコルに未知の実装漏れがあり、特定のパケットを送り込むことでバッファオーバーフローが発生したら?
例えば、一定時間に想定量以上のパケットを送りこむとキューにタスクが増え続け、サービスが一時的に動作しなくなったら?
例えば、特定のテストケースを送り込むことでシステムがダウンしてしまったら?
それらは、攻撃者にとっては格好の標的となります。IoT化という形で機器がネットワークに繋がり、外部と通信可能になることで、こういった攻撃を受ける可能性が発生します。
攻撃者から攻撃を受ける前に、テストとして攻撃をシミュレーションするテスト手法、それがファジングです。
当社は、拡張性の非常に優れたファジングツールbeSTORMおよび脆弱性検証スキャンツール、独自のスクリプト等を利用した「IoT機器セキュリティ検証サービス」をご提供しています。
※ IoT機器セキュリティ検証サービスで使用しているbeSTORMが、経済産業省 商務情報政策局 サイバーセキュリティ課による「機器のサイバーセキュリティ確保のためのセキュリティ検証の手引き(2021/4/16)」に掲載されました。 詳しくはこちら