セキュリティテスト手法 ファジング による脆弱性低減を! ~ 外部からの脅威に対し 製品出荷前に対策強化するために ~ 2016 年 5 月 12 日独立行政法人情報処理推進機構技術本部セキュリティセンター情報セキュリティ技術ラボラトリー鹿野一人 1
アジェンダ ネットワークに繋がる機器たち ファジングとは ファジングによる効果 まとめ IPAのファジングに関する取組み 2
ネットワークに繋がる機器たち (1/4) ~ 注目されている IoT~ さまざまな機器がネットワークに繋がる時代 ネットワークは誰でも繋がる 悪意あるユーザがネットワークに居ないとは限らない IoT インターネット 3
ネットワークに繋がる機器たち (2/4) ~ 製品の被害事例 ~ ネットワークにつながっているため 攻撃を受ける可能性がある 組込み製品の脆弱性による被害事例年月製品種別問題概要 / 関連情報 2012 年 1 月 IP カメラ 2014 年 11 月ルータ IPカメラに認証なしで撮影している映像を閲覧できる問題があり 対象となるIPカメラでインターネット上からアクセスできる台数は数千台にのぼっていた ルータの脆弱性を悪用して インターネット接続に必要な ID とパスワードを不正に入手され 悪用されていた 修正版を公開しても 利用者が対応する手間がかかる 4
ネットワークに繋がる機器たち (3/4) ~ 出荷後の脆弱性対策事例 ~ 出展元日本経済新聞 http://www.nikkei.com/article/dgxlasgm25h19_v20c15a7mm0000/ 5
ネットワークに繋がる機器たち (4/4) ~ 従来のテストを補う ファジング ~ 製品出荷前に できるだけ不具合を取除きたい 品質の向上 修正コストの削減 バグや脆弱性を調査するテストとしてオススメ するのが ファジング.. など 6
ファジングとは (1/3) ~ どのようなテストか ~ 一般の使用では考えられない 問題が起きそうな細工をしたデータを検査対象に送る AAAAAAAAAAAAAAAAAAAAAAAAAA %s%s%s%s%s%s%s%s%s%s%s%s% ファズ (Fuzz).. など 細工したデータを送り 製品の応答や動作を監視して 製品に問題が発生しないかを検査する 7
ファジングとは (2/3) ~ 別のものに置き換えてみると ~ 自動販売機 お金を入れたら飲み物が出る 飴玉をいれたら どうなるか 正常な動作を確認 一般的な動作テスト ( 機能テストなど ) 異常な動作を確認ファジング 9 ファジングはブラックボックステストの一種 8
ファジングとは (3/3) ~ 多種多様なデータと製品 ~ 入力データ 入力対象 ファイル パケット 通信 文書 音楽 画像 etc TCP/IP UPnP 無線 etc ソフトウェア 通信機器 文書作成 音楽再生 画像表示 etc ルータ テレビ Bluetooth etc 多種多様な入力データと 多種多様な入力データを受付ける製品の増加 実行オプション URL パラメータ etc C: test.exe hoge 実行コマンド Web サイト etc 9
ファジングによる効果 (1/8) ~ 未知のバグや脆弱性の発見 ~ 一般的な機能テストでは 発見が難しいバグや未知の脆弱性などを ファジングで検出できる 一般的な機能テスト 1~3 では 発見が難しいバグや未知の脆弱性が残る ファジングを追加すると 発見が難しいバグや未知の脆弱性が少なくなる 10
ファジングによる効果 (2/8) ~ 自動的なテスト ~ ツールによる自動的なテスト 多種多様なデータの生成 送信を自動で行う 手動で同様のテストを実施する場合に比べ 細工したデータの作成や送信等の工数を抑える 11
ファジングによる効果 (3/8) ~ 脆弱性検出 に活用できている例 ~ Mozilla プロジェクト : ファジングによる脆弱性発見 12
ファジングによる効果 (4/8) ~ バグ出し に活用できている例 ~ Microsoft 社の事例ではファジングでバグを 1800 件検出 13
ファジングによる効果 (5/8) ~ ファジングの研究開発 ~ 富士通研究所富士通株式会社 本研究を採用したファジングテストツールはすでに稼働しており 富士通で開発中の複数の製品の脆弱性を検出し製品出荷前の対策を実現しました 14
ファジングによる効果 (6/8) ~ 学術機関による研究動向 ~ 次世代の通信プロトコル CAN FD に対するファジング技術 CAN-FD(CAN with Flexible Data rate) は 現在 ( 車載機器に関して ) デファクトスタンダードとなっている CAN を拡張したプロトコル CAN-FD に関して ファジングツール bestorm を拡張して CAN- FD に対応させる際の実装方法とその性能評価の報告を行っていた 15
1.1 ファジングの概要 ファジングによる効果 (7/8) ~ メリット : 改修費用を抑える ~ 製品の品質を向上させ 改修費用などを抑える 費用概要 : ファジングを実施していない バグや脆弱性の改修費用など 製品や企業規模によって異なるため 製品開発企業ごとに違う 極端な例では 120 億円掛かってしまった事例もある ファジングを実施している ファジング導入 運用費用など 一般的に商用製品では 数百万から数千万円の導入費用 その何割かの保守費用が掛かる 安 費用 上図 : バグ 脆弱性の改修費用下図 : ファジング導入 運用に掛かる費用 高 詳細は 製品の品質を確保する セキュリティテスト に関するレポート を参照 : http://www.ipa.go.jp/files/000009390.pdf 16
1.1 ファジングの概要 ファジングによる効果 (8/8) ~ デメリット : 改修費用を抑える ~ 初期費用 運用費用がかかる ファジングを実施する人材の確保 育成 ファジングツールの購入費用 ( フリーのツールも存在するため 購入費用は抑えることが可能 ) 17
まとめ ~ ファジング活用のご提案 ~ ファジングを活用すると 従来のテストから網羅性を高めて 製品の品質確保に効果がある 大手ソフトウェア企業を中心に活用実績もある IPA でも脆弱性検出に効果があることを実証済み 安全な製品を提供していくために ファジングの導入をご検討ください 18
ファジング活用へご案内 もっと ファジング を知りたい方は IPA の ファジング 関連資料をご活用ください https://www.ipa.go.jp/security/vuln/fuzzing.html ファジング活用の手引き スマートテレビの脆弱性検出のレポート ファジング実践資料 ( 実践編 UPnP 編 テストデータ編 ) 製品の品質を確保する セキュリティテスト に関するレポート 組み込み製品の脆弱性対策映像コンテンツ https://www.ipa.go.jp/security/keihatsu/videos/index.html#eng 組込み製品の脆弱性が及ぼす影響 ~ 製品開発企業はどうすれば ~ 組込み製品の脆弱性対策に ~ 知ってみようファジング ~ JPEG テスト支援ツール ifuzzmaker https://www.ipa.go.jp/security/vuln/ifuzzmaker/ 19
IT パスポート公式キャラクター上峰亜衣 ( うえみねあい ) プロフィール : マンガ https://www3.jitec.ipa.go.jp/jitescbt/html/uemine/profile.html iパス は ITを利活用するすべての社会人 学生が備えておくべき ITに関する基礎的な知識が証明できる国家試験です 20
IPA ファジング 検索 ご清聴ありがとうございました お問い合わせ先 :vuln-inq@ipa.go.jp 21