特徴
- ファジングとは、ソフトウェア製品の未知の脆弱性を検出する手法の一つで、ソフトウェア開発の脆弱性検査などで活用される
- 検査対象のソフトウェア製品に「ファズ(fuzz)」と呼ばれる問題を引き起こしそうなデータを大量に送り込み、その応答や挙動を監視することで脆弱性を検出する検査手法
- 問題を引き起こしそうなデータとは、例えば、極端に長い文字列や通常用いないような制御コードなど、ソフトウェアの開発者が想定していないだろうデータ
- ファズデータの生成、検査対象への送信、挙動の監視を自動で行うファジングツール(ファザー)を使用する
- ファジングを開発のライフサイクルに組み込むことで、テストの自動化、脆弱性低減が期待できる
過去問
情報処理安全確保支援士・ネットワークスペシャリスト試験 令和元年度 秋期 午前1
【出典:情報処理安全確保支援士・ネットワークスペシャリスト試験 令和元年度 秋期 午前1 問14(一部、加工あり)】
ファジングに該当するものはどれか。
- サーバにFINパケットを送信し、サーバからの応答を観測して、稼働しているサービスを見つけ出す。
→ポートスキャン(FINスキャン)の説明です。 - サーバのOSやアプリケーションソフトウェアが生成したログやコマンド履歴などを解析して、ファイルサーバに保存されているファイルの改ざんを検知する。
→ログ分析やホスト型のIDSの説明です。 - ソフトウェアに、問題を引き起こしそうな多様なデータを入力し、挙動を監視して、脆弱性を見つけ出す。
→正解 - ネットワーク上を流れるパケットを収集し、そのプロトコルヘッダやペイロードを解析して、あらかじめ登録された攻撃パターンと一致した場合は不正アクセスと判断する。
→ネットワーク型のIDSの説明です。
情報処理安全確保支援士・ネットワークスペシャリスト試験 平成30年度 秋期 午前1
【出典:ネットワークスペシャリスト試験・情報処理安全確保支援士試験 共通 平成30年度 秋期 午前1 問15(一部、加工あり)】
脆弱性検査手法の一つであるファジングはどれか。
- 既知の脆弱性に対するシステムの対応状況に注目し、システムに導入されているソフトウェアのバージョン及びパッチの適用状況の検査を行う。
→バージョンチェックツール、または、検疫ネットワークのこと - ソフトウェアのデータの入出力に注目し、問題を引き起こしそうなデータを大量に多様なパターンで入力して挙動を観察し、脆弱性を見つける。
→正解 - ベンダや情報セキュリティ関連機関が提供するセキュリティアドバイザリなどの最新のセキュリティ情報に注目し、ソフトウェアの脆弱性の検査を行う。
→セキュリティアドバイザリとは、ベンダ(マイクロソフト社やシスコシステムズ社など)や情報セキュリティ関連機関(JVNなど)が公開する脆弱性対策情報データベースのこと - ホワイトボックス検査の一つであり、ソフトウェアの内部構造に注目し、ソースコードの構文をチェックすることによって脆弱性を見つける。
→ソースコードセキュリティ検査ツールのこと