セキュリティテスト手法 ファジング による脆弱性低減を! ~ 外部からの脅威に対し 製品出荷前に対策強化するために ~ 2016 年 5 月 12 日独立行政法人情報処理推進機構技術本部セキュリティセンター情報セキュリティ技術ラボラトリー鹿野一人 1

Similar documents
外部からの脅威に対し ファジング の導入を! ~ さらなる脆弱性発見のためのセキュリティテスト ~ 2017 年 5 月 10 日独立行政法人情報処理推進機構技術本部セキュリティセンター小林桂 1

ネットワーク機器の利用における セキュリティ対策 独立行政法人情報処理推進機構技術本部セキュリティセンター大道晶平

安全な Web サイトの作り方 7 版 と Android アプリの脆弱性対策 独立行政法人情報処理推進機構 (IPA) 技術本部セキュリティセンター Copyright 2015 独立行政法人情報処理推進機構

目次 取組み概要 取組みの背景 取組みの成果物 適用事例の特徴 適用分析の特徴 適用事例の分析結果から見えたこと JISAによる調査結果 どうやって 実践のヒント をみつけるか 書籍発行について紹介 今後に向けて 2

5. オープンソースWAF「ModSecurity」導入事例 ~ IPA はこう考えた ~

安全なウェブサイトの作り方 7 版 の内容と資料活用例 2

SHODANを悪用した攻撃に備えて-制御システム編-

情報セキュリティ 10 大脅威 大脅威とは? 2006 年より IPA が毎年発行している資料 10 大脅威選考会 の投票により 情報システムを取巻く脅威を順位付けして解説 Copyright 2018 独立行政法人情報処理推進機構 2

本日 お話しすること 第一部多様化する IoT のセキュリティ脅威 IoT 機器に感染するウイルスの多様化 脆弱性を有する IoT 機器の散在 国内に広がる感染被害 第二部開発者 製造者の対策 IoT 開発におけるセキュリティ設計の手引き 開発段階からセキュリティを考慮 ( セキュリティ バイ デザ

Microsoft IISのWebDAV認証回避の脆弱性に関する検証レポート

情報セキュリティ 10 大脅威 大脅威とは? 2006 年より IPA が毎年発行している資料 10 大脅威選考会 の投票により 情報システムを取巻く脅威を順位付けして解説 Copyright 2017 独立行政法人情報処理推進機構 2

<4D F736F F F696E74202D2091E63389F15F8FEE95F1835A834C A CC B5A8F FD E835A835890A78CE C CC835A834C A A2E >

脆弱性を狙った脅威の分析と対策について Vol 年 7 月 21 日独立行政法人情報処理推進機構セキュリティセンター (IPA/ISEC) 独立行政法人情報処理推進機構 ( 略称 IPA 理事長 : 西垣浩司 ) は 2008 年度におけ る脆弱性を狙った脅威の一例を分析し 対策をまと

2.5 月のアクセスの状況 28 年 5 月のアクセス状況は 4 月と比べて若干減少しました これは主に Windows Messenger サービスを悪用してポップアップメッセージを送信するアクセスである 126/udp 127/udp および 128/udp などへのアクセスが減少したためです

べきでない悪意のあるSQL 文が攻撃者から入力された場合 データベースで実行される前にSQL 文として処理されないよう無効化する必要がありますが ( 図 1 1) 無効化されずにデータベースで実行された場合 データベースの操作が可能となります ( 図 1 2) 本脆弱性を悪用するとデータベース接続ユ

目次 1. はじめに 2. 内部不正による情報漏えいの危険性 3. 情報漏えい対策ポイント 4. 情報漏えい発生時の対応ポイント 5. 参考資料の紹介 ( 講師用 ) Copyright 2015 独立行政法人情報処理推進機構 2

目次 Information-technology Promotion Agency, Japan 1. はじめに 2.SNS 利用時のリスク 3.SNS 利用時に気をつけるべき点 4. まとめ 2

CIAJ の概要 2017 年度 CIAJ の概要 情報通信技術 (ICT) 活用の一層の促進により 情報通信ネットワークに係る産業の健全な発展をはかるとともに 情報利用の拡大 高度化に寄与することによって 社会的 経済的 文化的に豊かな国民生活の実現および国際社会の実現に貢献することを活動の目的と

図 2: パスワードリスト攻撃の概要 インターネットサービスの安全な利用は 利用者が適切にパスワードを管理することを前提に成り立っており 利用者はパスワードを使い回さず 適切に管理する責任があります 以下はパスワードリスト攻撃を受けたことを 2013 年 4 月以降に発表した企業のうち 試行件数 と

技術レポート 1)QuiX 端末認証と HP IceWall SSO の連携 2)QuiX 端末認証と XenApp の連携 3)QuiX 端末認証 RADIUS オプションと APRESIA の連携 Ver 1.1 Copyright (C) 2012 Base Technology, Inc.

延命セキュリティ製品 製品名お客様の想定対象 OS McAfee Embedded Control 特定の業務で利用する物理 PC 仮想 PC や Server 2003 Server 2003 ホワイトリスト型 Trend Micro Safe Lock 特定の業務で利用するスタンドアロン PC

CloudEdgeあんしんプラス月次レポート解説書(1_0版) _docx

1. SQL インジェクションの問題と脅威 2

マルウェアレポート 2017年9月度版

第 号 2014 年 4 月 1 日独立行政法人情報処理推進機構 今月の呼びかけ あなたのパソコンは 4 月 9 日以降 大丈夫? ~ 使用中パソコンの判別方法 乗り換えプランを紹介 ~ マイクロソフト社 Windows XP と Office 2003 のサポートが 2014

ソフトウェアの品質とは? 2

TFTP serverの実装

ServerView Resource Orchestrator V3.0 ネットワーク構成情報ファイルツール(Excel形式)の利用方法

情報連携用語彙データベースと連携するデータ設計 作成支援ツール群の試作及び試用並びに概念モデルの構築 ( 神戸市こども家庭局こども企画育成部 千葉市総務局情報経営部業務改革推進課 川口市企画財政部情報政策課 ) データ構造設計支援ツール設計書 2014 年 9 月 30 日 実施企業 : 株式会社ア

ポップアップブロックの設定

目次 はじめに... 2 本書の対象読者 ランサムウェアの脅威 ランサムウェアのタイプ ランサムウェアの種別 ランサムウェアによるファイル暗号化 ファイル暗号化型のランサムウェア感染時の影響範囲... 5

スキル領域 職種 : ソフトウェアデベロップメント スキル領域と SWD 経済産業省, 独立行政法人情報処理推進機構

日経ビジネス Center 2

Google グループ を使ったメール内容の公開例 : メール内容の公開範囲の初期設定は当初 [ 全てのユーザー ] に設定されており それを 気にとめず にそのまま利用していたため メールは Google グループを使用しているユーザーなら誰でも閲覧できる状態になっていました リスク : 表 の

改版履歴 版数 日付 内容 担当 V /5/26 初版発行 STS V /7/28 動作条件の変更 STS メール通知文の修正 V /2/7 Windows8 の追加 STS V /2/2 Windows8. の追加 STS V

講義内容 1. 組込み機器のセキュリティの脅威について 2. 脆弱性関連情報の収集について 3.IPA が提供する脆弱性対策関連のサービス Copyright 2015 独立行政法人情報処理推進機構 2

重大な経営課題となる 制御システム のセキュリティリスク ~ 制御システムを運用する企業が実施すべきポイント ~ 2015 年 5 月 14 日 15 日独立行政法人情報処理推進機構技術本部セキュリティセンター主任研究員渡辺貴仁 1

目次 1. コンピュータウイルス届出状況 ウイルス届出件数 不正プログラム検出数 ウイルス検出数 検出ウイルスの種類 ウイルス届出者 ウイルスおよび不正プログラムの検出

■POP3の廃止について

2.2 Reflected XSS 攻撃攻撃者の用意した悪意のあるリンクとターゲットサーバが同じホストである場合の Reflected XSS 攻撃を, 本稿では Reflected XSS 攻撃と呼ぶ. 例えば, サーバ A の target.php に Reflected XSS 脆弱性があった

これだけは知ってほしいVoIPセキュリティの基礎

ポップアップブロックの設定

社会的背景 2

動作環境 ( 閲覧パソコン ) 新規でご利用いただく場合 : 項目条件対応 OS Windows 7 / 10 対応 Web ブラウザ Internet Explorer 11 / Google Chrome / Mozilla Firefox 但し Google Chrome のリビジョンによって

プレゼンテーション

SiteLock操作マニュアル

先進的な設計 検証技術の適用事例報告書 2015 年度版 2015 年 11 月

はじめに 本ドキュメントは Redmine を使用して稼働する定量的プロジェクト管理ツール ( 以下 IPF と略します ) のヘルプです IPF の操作に関わる機能を解説しており Redmine 及び構成管理ツール (Subversion Git) の標準機能については 本ヘルプの記載対象外として

SQLインジェクション・ワームに関する現状と推奨する対策案

はじめに ウイルスに感染させるための罠が仕掛けられた悪意のある文書ファイルは これまでにも Office の脆弱性の悪用や マクロ機能を悪用する手口のものがありました 昨今 それらとは異なる新たな攻撃手口を使ったものが出てきています 本資料は 新たな攻撃手口について紹介し 注意点を説明するものです

VoIP-TA 取扱説明書 追加・修正についての説明資料

OpenLAN2利用ガイド

_mokuji_2nd.indd

情報共有の流れと目的 情報共有の基本的な流れ 参加組織 攻撃を検知 IPA へ情報提供 目的 IPA 分析 加工 ( 匿名化など ) 情報共有 結果の共有 1 類似攻撃の早期検知と被害の回避 2 攻撃に対する防御の実施 3 今後想定される攻撃への対策検討 標的型攻撃メールを当面の主対象として運用中

不正アプリのお話 ( 自分で入れちゃう話 ) 2

本プレゼンのポイント 脅威を知ることが対策への近道 2

目次 1. コンピュータウイルス届出状況 ウイルス届出件数 不正プログラム検出数 ウイルス検出数 検出ウイルスの種類 ウイルス届出者 ウイルスおよび不正プログラムの検出

2. 留意事項セキュリティ対策を行う場合 次のことに留意してください 不正侵入対策の設定を行う場合 お使いのソフトウェアによっては今までのように正常に動作しなくなる可能性があります 正常に動作しない場合は 必要に応じて例外処理の追加を行ってください ここで行うセキュリティ対策は 通信内容の安全性を高

2 章必要なものを用意する パソコン (PC) 推奨環境以下の Windows パソコンのみでのご利用となり スマートフォンやタブレットは推奨環境対象外です なお 携帯電話からはご利用いただけません 最新の利用環境および留意事項につきましては 当金庫までお問い合わせください ( 平成 28 年 1

Windows Server 2003 におけるPrint Manager V6.0L10の留意事項

Nagios XI Webサイトの改ざん監視

クライアント証明書導入マニュアル

OP2

平成 29 年 4 月 12 日サイバーセキュリティタスクフォース IoT セキュリティ対策に関する提言 あらゆるものがインターネット等のネットワークに接続される IoT/AI 時代が到来し それらに対するサイバーセキュリティの確保は 安心安全な国民生活や 社会経済活動確保の観点から極めて重要な課題

Embedded Technology West 2015 組込み総合技術展関西 IoT におけるセキュリティの脅威と対策 2015 年 6 月 11 日 ( 木 ) 独立行政法人情報処理推進機構 (IPA) 技術本部セキュリティセンター情報セキュリティ技術ラボラトリー博士 ( 情報学 ) 中野学

大学協議会 Windows XP 利用延長の手引き 平成 25 年 12 月 福岡大学情報セキュリティ委員会

6-2- 応ネットワークセキュリティに関する知識 1 独立行政法人情報処理推進機構

i コンピテンシ ディクショナリ を 活用した品質エンジニアの育成 その 2 独立行政法人情報処理推進機構 HRD イニシアティブセンター 奥村有紀子

Embedded Technology 2015 IoT Technology 2015 IoT におけるセキュリティの脅威と対策 Copyright 2015 独立行政法人情報処理推進機構 2015 年 11 月 20 日 ( 金 ) 独立行政法人情報処理推進機構 (IPA) 技術本部セキュリティ

マルウェアレポート 2018年2月度版

IPA

大域照明計算手法開発のためのレンダリングフレームワーク Lightmetrica: 拡張 検証に特化した研究開発のためレンダラ 図 1: Lightmetrica を用いてレンダリングした画像例 シーンは拡散反射面 光沢面を含み 複数の面光 源を用いて ピンホールカメラを用いてレンダリングを行った

サービス内容 サービス内容 ドメインサービス Web サービスのサービス内容についてご案内します このたびは ドメイン /Web サービスをお申し込みいただきまして 誠にありがとうございます 本冊子は ドメイン /Web サービスの運用を管理される方向けの内容で構成されております お客様のご利用環境

2011 年第 3 四半期脆弱性対策情報データベース JVN ipedia の登録状況 ( 詳細 ) 1. 脆弱性対策情報の登録状況 1.1 今四半期に登録した脆弱性の種類別件数 す 別紙 2 共通脆弱性タイプ一覧 CWE ( *12) は 脆弱性の種類を識別するための共通の脆弱性タイプの一覧で C

Microsoft PowerPoint - Map_WG_2010_03.ppt

ソフト活用事例③自動Rawデータ管理システム

システムインテグレータのIPv6対応

WEB規格書システムへの アップロード⇒登録の手順について

スライド 1

OneDrive for Businessのご紹介

SOC Report

ESET Smart Security 7 リリースノート

ESET NOD32 アンチウイルス 8 リリースノート

CFP®認定に向けて

<4D F736F F F696E74202D20496F54835A834C A B CC8A F8CF6955C94C A2E >

Simple Violet

内容 ( 演習 1) 脆弱性の原理解説 基礎知識 脆弱性の発見方法 演習 1: 意図しない命令の実行 演習解説 2

Solar Link ARCH ソーラーリンクアーク Step 1 ログイン ログイン方法 1. Web ブラウザを立ち上げて 一括監視画面 URL にアクセスします 2. ログイン画面が表示されます 3. マスター ID とマスターパスワードを入力し ログイン状態を保持する に必ずチェックを入れて

ESET Mobile Security V4.1 リリースノート (Build )

Microsoft Word - FTTH各種設定手順書(鏡野地域対応_XP項目削除) docx

— intra-martで運用する場合のセキュリティの考え方    

PowerPoint プレゼンテーション

目次 1 はじめに アンインストール前の注意点 Sophos アンインストール手順 アンインストーラの場所を確認する アンインストーラの実行 F-Secure Client Security for Mac インストー

<4D F736F F D20838F E F815B83688B40945C82B B E646F6378>

S o f t w a r e R e l i a b i l i t y E n h an c e m e n t C e n t er Information-technology Promotion Agency, Japan つながる世界のセーフティ & セキュリティ設計の見える化 つながる

Microsoft Word - WebClass Ver 9.08f 主な追加機能・修正点.docx

はじめに (1) フィッシング詐欺 ( フィッシング攻撃 ) とは フィッシング詐欺とは インターネットバンキング ショッピングサイト等の利用者のアカウント情報 (ID パスワード等 ) や クレジットカードの情報等を騙し取る攻撃です 典型的な手口としては 攻撃者が本物のウェブサイトと似た偽のウェブ

metis ami サービス仕様書

PowerPoint プレゼンテーション

目次 1. 回答作成手順 2 2. ツールの起動 3 3. 一般情報の入力 6 4. 成分表の入力 9 5. 依頼者情報の入力 エラーチェック XMLファイルの作成 動作設定 ( 任意 ) ( ご参考 ) 各種シートのボタン機能 ( ご参

Transcription:

セキュリティテスト手法 ファジング による脆弱性低減を! ~ 外部からの脅威に対し 製品出荷前に対策強化するために ~ 2016 年 5 月 12 日独立行政法人情報処理推進機構技術本部セキュリティセンター情報セキュリティ技術ラボラトリー鹿野一人 1

アジェンダ ネットワークに繋がる機器たち ファジングとは ファジングによる効果 まとめ IPAのファジングに関する取組み 2

ネットワークに繋がる機器たち (1/4) ~ 注目されている IoT~ さまざまな機器がネットワークに繋がる時代 ネットワークは誰でも繋がる 悪意あるユーザがネットワークに居ないとは限らない IoT インターネット 3

ネットワークに繋がる機器たち (2/4) ~ 製品の被害事例 ~ ネットワークにつながっているため 攻撃を受ける可能性がある 組込み製品の脆弱性による被害事例年月製品種別問題概要 / 関連情報 2012 年 1 月 IP カメラ 2014 年 11 月ルータ IPカメラに認証なしで撮影している映像を閲覧できる問題があり 対象となるIPカメラでインターネット上からアクセスできる台数は数千台にのぼっていた ルータの脆弱性を悪用して インターネット接続に必要な ID とパスワードを不正に入手され 悪用されていた 修正版を公開しても 利用者が対応する手間がかかる 4

ネットワークに繋がる機器たち (3/4) ~ 出荷後の脆弱性対策事例 ~ 出展元日本経済新聞 http://www.nikkei.com/article/dgxlasgm25h19_v20c15a7mm0000/ 5

ネットワークに繋がる機器たち (4/4) ~ 従来のテストを補う ファジング ~ 製品出荷前に できるだけ不具合を取除きたい 品質の向上 修正コストの削減 バグや脆弱性を調査するテストとしてオススメ するのが ファジング.. など 6

ファジングとは (1/3) ~ どのようなテストか ~ 一般の使用では考えられない 問題が起きそうな細工をしたデータを検査対象に送る AAAAAAAAAAAAAAAAAAAAAAAAAA %s%s%s%s%s%s%s%s%s%s%s%s% ファズ (Fuzz).. など 細工したデータを送り 製品の応答や動作を監視して 製品に問題が発生しないかを検査する 7

ファジングとは (2/3) ~ 別のものに置き換えてみると ~ 自動販売機 お金を入れたら飲み物が出る 飴玉をいれたら どうなるか 正常な動作を確認 一般的な動作テスト ( 機能テストなど ) 異常な動作を確認ファジング 9 ファジングはブラックボックステストの一種 8

ファジングとは (3/3) ~ 多種多様なデータと製品 ~ 入力データ 入力対象 ファイル パケット 通信 文書 音楽 画像 etc TCP/IP UPnP 無線 etc ソフトウェア 通信機器 文書作成 音楽再生 画像表示 etc ルータ テレビ Bluetooth etc 多種多様な入力データと 多種多様な入力データを受付ける製品の増加 実行オプション URL パラメータ etc C: test.exe hoge 実行コマンド Web サイト etc 9

ファジングによる効果 (1/8) ~ 未知のバグや脆弱性の発見 ~ 一般的な機能テストでは 発見が難しいバグや未知の脆弱性などを ファジングで検出できる 一般的な機能テスト 1~3 では 発見が難しいバグや未知の脆弱性が残る ファジングを追加すると 発見が難しいバグや未知の脆弱性が少なくなる 10

ファジングによる効果 (2/8) ~ 自動的なテスト ~ ツールによる自動的なテスト 多種多様なデータの生成 送信を自動で行う 手動で同様のテストを実施する場合に比べ 細工したデータの作成や送信等の工数を抑える 11

ファジングによる効果 (3/8) ~ 脆弱性検出 に活用できている例 ~ Mozilla プロジェクト : ファジングによる脆弱性発見 12

ファジングによる効果 (4/8) ~ バグ出し に活用できている例 ~ Microsoft 社の事例ではファジングでバグを 1800 件検出 13

ファジングによる効果 (5/8) ~ ファジングの研究開発 ~ 富士通研究所富士通株式会社 本研究を採用したファジングテストツールはすでに稼働しており 富士通で開発中の複数の製品の脆弱性を検出し製品出荷前の対策を実現しました 14

ファジングによる効果 (6/8) ~ 学術機関による研究動向 ~ 次世代の通信プロトコル CAN FD に対するファジング技術 CAN-FD(CAN with Flexible Data rate) は 現在 ( 車載機器に関して ) デファクトスタンダードとなっている CAN を拡張したプロトコル CAN-FD に関して ファジングツール bestorm を拡張して CAN- FD に対応させる際の実装方法とその性能評価の報告を行っていた 15

1.1 ファジングの概要 ファジングによる効果 (7/8) ~ メリット : 改修費用を抑える ~ 製品の品質を向上させ 改修費用などを抑える 費用概要 : ファジングを実施していない バグや脆弱性の改修費用など 製品や企業規模によって異なるため 製品開発企業ごとに違う 極端な例では 120 億円掛かってしまった事例もある ファジングを実施している ファジング導入 運用費用など 一般的に商用製品では 数百万から数千万円の導入費用 その何割かの保守費用が掛かる 安 費用 上図 : バグ 脆弱性の改修費用下図 : ファジング導入 運用に掛かる費用 高 詳細は 製品の品質を確保する セキュリティテスト に関するレポート を参照 : http://www.ipa.go.jp/files/000009390.pdf 16

1.1 ファジングの概要 ファジングによる効果 (8/8) ~ デメリット : 改修費用を抑える ~ 初期費用 運用費用がかかる ファジングを実施する人材の確保 育成 ファジングツールの購入費用 ( フリーのツールも存在するため 購入費用は抑えることが可能 ) 17

まとめ ~ ファジング活用のご提案 ~ ファジングを活用すると 従来のテストから網羅性を高めて 製品の品質確保に効果がある 大手ソフトウェア企業を中心に活用実績もある IPA でも脆弱性検出に効果があることを実証済み 安全な製品を提供していくために ファジングの導入をご検討ください 18

ファジング活用へご案内 もっと ファジング を知りたい方は IPA の ファジング 関連資料をご活用ください https://www.ipa.go.jp/security/vuln/fuzzing.html ファジング活用の手引き スマートテレビの脆弱性検出のレポート ファジング実践資料 ( 実践編 UPnP 編 テストデータ編 ) 製品の品質を確保する セキュリティテスト に関するレポート 組み込み製品の脆弱性対策映像コンテンツ https://www.ipa.go.jp/security/keihatsu/videos/index.html#eng 組込み製品の脆弱性が及ぼす影響 ~ 製品開発企業はどうすれば ~ 組込み製品の脆弱性対策に ~ 知ってみようファジング ~ JPEG テスト支援ツール ifuzzmaker https://www.ipa.go.jp/security/vuln/ifuzzmaker/ 19

IT パスポート公式キャラクター上峰亜衣 ( うえみねあい ) プロフィール : マンガ https://www3.jitec.ipa.go.jp/jitescbt/html/uemine/profile.html iパス は ITを利活用するすべての社会人 学生が備えておくべき ITに関する基礎的な知識が証明できる国家試験です 20

IPA ファジング 検索 ご清聴ありがとうございました お問い合わせ先 :vuln-inq@ipa.go.jp 21

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック