IPA、脆弱性検出「ファジング」ツールの実証で、ルーター3機種の脆弱性を検出

　独立行政法人情報処理推進機構（IPA）は27日、ブロードバンドルーター6機種に脆弱性検出技術の「ファジング」を実践したところ、3機種で合計6種類の脆弱性が発見できたとして、ファジングを行う際のノウハウや知見をまとめた「ファジング活用の手引き」をIPAのサイトで公開した。

　「ファジング」は、ソフトウェア製品などに何万種類もの問題を起こしそうなデータ（極端に長い文字列など）を送り込み、ソフトウェア製品の動作状態から脆弱性を発見する技術。マイクロソフトなど国外の大手IT企業ではソフトウェア製品の開発ライフサイクルにファジングを導入し、製品出荷前の脆弱性検出に活用しているが、日本では認知・普及が進んでいないことから、IPAでは2011年8月からファジングの有効性の実証および普及の促進を目的とした「脆弱性検出の普及活動」を開始した。

　この一環として、2011年12月～2012年2月にブロードバンドルーター6機種にファジングを実践したところ、3機種で合計6件の脆弱性を検出した。

　検出した脆弱性の中には、ブロードバンドルーターのLAN側からルーターを強制的に再起動させてしまう脆弱性もあった。今回のルーターではインターネット側からの攻撃はできなかったため、実際に悪用される可能性は低いと考えられるが、停止することが許されないネットワーク機器などでは大きな被害となる脆弱性だと説明。こうした危険度の高い脆弱性を、担当者の知識によらずテストパターンによって機械的に検出でき、ファジングは脆弱性検出に有効な技術であることを実証できたとしている。

　今回の実証では、商用製品1種類、オープンソースソフトウェアなど2種類のファジングツールを使用。オープンソースのファジングツールを使った検証は1日程度で完了しており、オープンソースのファジングツールで検出できた脆弱性もあったことから、製品開発企業でファジングを導入していない場合は、まずオープンソースのファジングツールを取り入れるだけでも、第三者が容易に発見できてしまう脆弱性を検出することが期待できるとしている。

　IPAでは、今回の検証で得たノウハウや知見をまとめた「ファジング活用の手引き」をIPAのサイトで公開。2012年以降も、デジタルテレビなどの情報家電にファジングを実践し、ファジングの有効性をさらに実証していくとともに、検出した脆弱性を開発者に連絡して脆弱性の修正を促進していく。