不正データを与えてOSSの脆弱性をあぶり出す「ファジング」とは？　Googleが事例発表：メモリ破壊タイプの脆弱性以外にも役立つ

GoogleはOSS向けファジングサービス「OSS-Fuzz」の事例を発表した。「TinyGLTF」プロジェクトの重大な脆弱性を発見できた。これまで以上に広範な脆弱性を発見する能力がファジングツールにあるのだという。

» 2022年09月14日 17時00分公開

[＠IT]

この記事は会員限定です。会員登録（無料）すると全てご覧いただけます。

　Googleは2022年9月8日（米国時間）、オープンソースソフトウェア（OSS）向けファジングサービス「OSS-Fuzz」の事例を発表した。「TinyGLTF」プロジェクトの重大な脆弱（ぜいじゃく）性（CVE-2022-3008）を発見したことだ。ファジングツールにはこれまで以上に広範な脆弱性を発見する能力があるのだという。

　ファジングとは、ソースコードを直接解析するのではなく、極端に長い文字列や不正な形式の値などさまざまな入力データを与えてコードを実行し、意図的に予期せぬ動作やクラッシュを引き起こすテスト手法だ。

　OSS-Fuzzはオープンソースプロジェクト向けにファジングツール（ファザー）を実行し、検出されたバグを非公開で開発者に知らせる無償サービスだ。約700の重要なオープンソースプロジェクトにバグがないかどうか、定期的にチェックしている。Googleが開発し、オープンソースコミュニティーと共に提供している。

この脆弱性を発見したことにはどのような意味があるのか

#CmsMembersControl .CmsMembersControlIn {width:100%;background:url(https://image.itmedia.co.jp/images/spacer.gif) #DDD;opacity:0.05;filter:progid:DXImageTransform.Microsoft.Alpha(Enabled=1,Style=0,Opacity=5);z-index:1;}

続きを閲覧するには、ブラウザの JavaScript の設定を有効にする必要があります。

ソフトウェア脆弱性を正しく怖がるための「28の真実」
Comparitech.comはサイバーセキュリティに関わる脆弱性について、最新の状況を示す28の重要な統計と事実を取り上げて紹介した。2021年第4四半期にはゼロデイマルウェアが全脅威の3分の2を占めた。だが、同時に84％の企業のネットワーク境界に高リスクの脆弱性が残っていた。企業や個人はまず古い脆弱性に対応するとよいだろう。
Google、ファジングツール評価を自動化できる「FuzzBench」をリリース
Googleは、複数のファジングツールの評価を自動化できるオープンソースソフトウェアであり、無料サービスである「FuzzBench」をリリースした。どのソフトウェアテストが優れているのか、判定しやすい。
バグのないコードを作るにはオープンソースツールが役立つ、Microsoft Researchが紹介
Microsoft Researchはバグのないコードの迅速な作成を支援する目的で取り組んでいる4つのオープンソースプロジェクトの概要を紹介した。並列プログラムのバグを検出したり、クラウド向けにREST APIのファジングを助けたりするプロジェクトだ。