IPA、ファジングツールが送り出すデータの特徴を解説する資料公開：情報家電や自動車などの脆弱性低減を支援

情報処理推進機構は2013年11月7日、情報家電や自動車などに存在するソフトウェアの脆弱性を検出するテストに使われるデータについて解説した「ファジング実践資料（テストデータ編）」を公開した。

[高橋睦美，＠IT]

　情報処理推進機構（IPA）は2013年11月7日、情報家電や自動車などに存在するソフトウェアの脆弱性を検出するテストに使われるデータについて解説した「ファジング実践資料（テストデータ編）」を公開した。ファジングテストツールがどのようなデータを用いて検査を行っているかをまとめることで、効果的な検査につなげてもらう狙いだ。

　ファジングとは、ソフトウェアの脆弱性を発見する手法の1つだ。正常な処理ではあまり発生しない、問題を引き起こしそうなデータを意図的に送り込み、その挙動を見ることで、どこにどういった脆弱性が存在するかを検出する。例えば「極端に長い文字列を送り込んだら、異常終了することがある」といった具合だ。

　IPAは2012年にも「ファジング活用の手引き」という文書を公開し、ファジングの有効性を訴えてきた。今回の文書では、ファジングツールがどういったデータを送り出しているか、データ構造の「どの部分」を「どのように」細工しているか、あるいはデータ間のつながりをどのように細工して検査しているかを、IPAがこれまで24種類のファジングツールを使用した経験を基にまとめている。

　さらに、IPパケットやHTTPリクエスト、JPEG画像、無線LANフレームなどを用いたテストデータの実例も掲載した。これらを活用することで、ファジングツールが送り出すデータの特徴を把握し、ツールの選定に役立つだけでなく、目的に応じたファジングツールを自作する手助けにもなるという。

　最近では、これまでスタンドアロンで動作することが前提となっていた情報家電や自動車のソフトウェア制御が進み、ネットワーク接続が広がっている。これに伴い、外部からの攻撃を受けるリスクも高まってきた。IPAではこうした背景から、ITシステムで利用されるソフトウェアだけでなく、組み込み機器を開発する事業者向けにこの資料を提供し、製品出荷前の脆弱性検出と解消につなげてほしいとしている。