本書は以下の URL からダウンロードできますファジング活用の手引き別冊ファジング実践資料 (テストデータ編 ) https://www.ipa.go.jp/security/vuln/fuzzing.html

Similar documents

Microsoft Word - 不正アクセス行為の禁止等に関する法律等に基づく公安

<4D F736F F D AC90D1955D92E CC82CC895E DD8C D2816A2E646F63>

Ⅰ 調査の概要 1 目的義務教育の機会均等その水準の維持向上の観点から的な児童生徒の学力や学習状況を把握分析し教育施策の成果課題を検証しその改善を図るもに学校におけ

KINGSOFT Office 2016 動作環境対応日本語版版共通利用上記動作以上以上空容量以上他接続環境推奨必要 2

預金を確保しつつ資金調達手段も確保する収益性を示す指標として営業利益率を採用し営業利益率の目安となる数値を公表する株主の皆様への還元については持続的な成長による配当可

答申第585号

Microsoft Word - 養生学研究投稿規定（改）

中根・金田台地区平成23年度補償説明業務

検討検討の進め方検討状況簡易収支の世帯からサンプリング世帯名作成事務の廃止 4 5 必要な世帯数の確保が可能か簡易収支を実施している民間事業者との連絡等に伴う事務の複雑

為が行われるおそれがある場合に都道府県公安委員会がその指定暴力団等を特定抗争指定暴力団等として指定しその所属する指定暴力団員が警戒区域内において暴力団の事務所を新たに設

PowerPoint プレゼンテーション

質問票 ( 様式 3) 質問番号 62-1 質問内容鑑定評価依頼先は千葉県などは入札制度にしているが神奈川県は入札なのか?または随契なのか?その理由は? 地価調査業務は単にそれぞれの地点の鑑定

<819A955D89BF92B28F BC690ED97AA8EBA81418FA48BC682CC8A8890AB89BB816A32322E786C7378>

労働時間と休日は、労働条件のもっとも基本的なものの一つです

続に基づく一般競争 ( 指名競争 ) 参加資格の再認定を受けていること ) c) 会社更生法に基づき更生手続開始の申立てがなされている者又は民事再生法に基づき再生手続開始の申立てがなさ

リング不能な将来減算一時差異に係る繰延税金資産について回収可能性がないものとする原則的な取扱いに対してスケジューリング不能な将来減算一時差異を回収できることを反証できる場合に原則

入札参加者は入札の執行完了に至るまではいつでも入札を辞退することができこれを理由として以降の指名等において不利益な取扱いを受けることはない 12 入札保証金免除 13 契約保証金免除 14 入

2 役員の報酬等の支給状況平成 27 年度年間報酬等の総額就任退任の状況役名報酬 ( 給与 ) 賞与その他 ( 内容 ) 就任退任 2,142 ( 地域手当 ) 17,205 11,580 3,311 4 月 1

[2] 控除限度額繰越欠損金を有する法人において欠損金発生事業年度の翌事業年度以後の欠損金の繰越控除にあたっては平成 27 年度税制改正により次ページ以降で解説するの特例 (

している 5. これに対して親会社の持分変動による差額を資本剰余金として処理した結果資本剰余金残高が負の値となるような場合の取扱いの明確化を求めるコメントが複数寄せられた 6. コメントでは親

<4D F736F F F696E74202D B E E88E68C9A90DD8BC65F E DC58F4994C52E >

SXF 仕様実装規約版 ( 幾何検定編 ) 新旧対照表 2013/3/26 文言変更 p.12(1. 基本事項 ) (5)SXF 入出力バージョン Ver.2 形式と Ver.3.0 形式および Ver.3.1 形式の入出力機能を

は固定流動及び繰延に区分することとし減価償却を行うべき固定の取得又は改良に充てるための補助金等の交付を受けた場合においてはその交付を受けた金額に相当する額を長期前受金とし

平成１9年9月改定

Microsoft PowerPoint - 報告書(概要).ppt

2. どの様な経緯で発覚したのかまた遡ったのを昨年 4 月までとしたのは何故か明らかにすること回答 3 月 17 日に実施したダイヤ改正で静岡車両区の構内運転が静岡運

1 書誌作成機能 (NACSIS-CAT)の軽量化合理化電子情報資源への適切な対応のための資源 ( 人的資源,システム資源, 経費を含む) の確保のために, 書誌作成と書誌管理作業の軽量化を図

4 参加資格要件本提案への参加予定者は以下の条件を全て満たすこと 1 地方自治法施行令 ( 昭和 22 年政令第 16 号 ) 第 167 条の4 第 1 項各号の規定に該当しない者であること 2 会社

一般競争入札について

Microsoft Word - 19年度（行情）答申第076号.doc

独立行政法人国立病院機構

<4D F736F F D2091E F18CB48D C481698E7B90DD8F9590AC89DB816A2E646F63>

Taro-データ公安委員会相互協力事

接続試験実施要領【障害者総合支援法（平成２７年４月報酬改定）対応】

Microsoft Word - 19年度（行情）答申第081号.doc

（２）大学・学部・研究科等の理念・目的が、大学構成員（教職員および学生）に周知され、社会に公表されているか

2016 年度情報リテラシー変更された状態同様に価格のセルを書式設定する場合は金額のセルをすべて選択し [ 書式 ]のプルダウンメニューから[ 会計 ]を選択するするとが追加され金額としての書式が設定さ

平成 27 年 11 月 ~ 平成 28 年 4 月に公開の対象となった専門協議等における各専門委員等の寄附金契約金等の受取状況審査 ( 別紙 ) 専門協議等の件数専門委員数 500 万円超の受

<4D F736F F D D3188C091538AC7979D8B4B92F F292B98CF092CA81698A94816A2E646F63>

< 現在の我が国 D&O 保険の基本的な設計 (イメージ)> < 一般的な補償の範囲の概要 > 請求の形態会社の役員会社による請求に対する損免責事由の場合に害賠償請求は補償されず(

平成25年度　独立行政法人日本学生支援機構の役職員の報酬・給与等について

（別紙３）保険会社向けの総合的な監督指針の一部を改正する（案）

事前チェック提出用現況報告書作成ツール入力マニュアル(法人用)

養老保険の減額払済保険への変更 1. 設例会社が役員を被保険者とし死亡保険金及び満期保険金のいずれも会社を受取人とする養老保険に加入している場合を解説します資金繰りの都

<4D F736F F D208ED089EF95DB8CAF89C193FC8FF38BB CC8EC091D492B28DB88C8B89CA82C982C282A282C42E646F63>

( 別途調査様式 1) 減損損失を認識するに至った経緯等 1 列 2 列 3 列 4 列 5 列 6 列 7 列 8 列 9 列 10 列 11 列 12 列 13 列 14 列 15 列 16 列 17 列 18 列 19 列 20 列 21 列 22 列固定

<4D F736F F D A94BD837D836C B4B92F62E646F6378>

(Microsoft Word - \221\346\202P\202U\201@\214i\212\317.doc)

3. 選任固定資産評価員は固定資産の評価に関する知識及び経験を有する者のうちから市町村長が当該市町村の議会の同意を得て選任する二以上の市町村の長は当該市町村の議

<4D F736F F D203193FA8AD45F95CA8E86325F89898F4B315F94F093EF8AA98D AD97DF914F82CC8FEE95F182CC8EFB8F C28E8B89BB2E646F63>

Taro13-01_表紙目次.jtd

(Microsoft Word - \203A \225\345\217W\227v\227\314 .doc)

03_主要処理画面.xlsx

大田市固定資産台帳整備業務（プロポーザル審査要項）

PowerPoint プレゼンテーション

(5) 給与制度の総合的見直しの実施状況について概要の給与制度の総合的見直しにおいては俸給表の水準の平均 2の引き下げ及び地域手当の支給割合の見直し等に取り組むとされている

Taro-Ｈ１９退職金（修正版）.jtd

定款　　変更

国立研究開発法人土木研究所の役職員の報酬・給与等について

<4D F736F F D208C6F D F815B90A BC914F82CC91CE899E8FF38BB582C982C282A282C42E646F63>

ていることからそれに先行する形で下請業者についても対策を講じることとしました本県としましてはそれまでの間に未加入の建設業者に加入していただきますよう 28 年 4 月から実施することとしました問 6 公共工事の

2 役員の報酬等の支給状況役名法人の長理事理事 ( 非常勤 ) 平成 25 年度年間報酬等の総額就任退任の状況報酬 ( 給与 ) 賞与その他 ( 内容 ) 就任退任 16,936 10,654 4,36

入札公告機動装備センター

Taro13-公示.jtd

Microsoft Word - 全国エリアマネジメントネットワーク規約.docx

育休代替任期付職員制度について

私立大学等研究設備整備費等補助金（私立大学等

学校安全の推進に関する計画の取組事例

Microsoft Word - 佐野市生活排水処理構想（案）.doc

その他事業推進体制平成 20 年 3 月 26 日に石垣島国営土地改良事業推進協議会を設立し事業を推進 ( 構成 : 石垣市石垣市議会石垣島土地改良区石垣市農業委員会沖縄県農

研究者情報データベース

募集新株予約権（有償ストック・オプション）の発行に関するお知らせ

H28記入説明書（納付金・調整金）8

別添 1 提案書等作成要領 1 調達件名 PIO-NET2015 に係る運用等支援業務一式 2 提案書等の提出本調達に係る提案書等は PIO-NET2015 に係る運用等支援業務一式調達仕様

Microsoft Word - ★ＨＰ版平成２７年度検査の結果

2 県公立高校の合格者はこのように決まる (1) 選抜の仕組み選抜の資料選抜の資料は主に下記の3つがあり全高校で使用する共通のものと高校ごとに決めるものとがあります 1 学力検査 ( 国語数

Microsoft Word - 目次.doc

<4D F736F F D2095CA8E A90DA91B18C9F93A289F1939A8F D8288B3816A5F E646F63>

返還同意書作成支援　操作説明書

平成21年9月29日

平成１５・１６年度の建設工事入札参加資格の認定について

注記事項 (1) 当四半期連結累計期間における重要な子会社の異動 : 無 (2) 四半期連結財務諸表の作成に特有の会計処理の適用 : 有 ( 注 ) 詳細は添付資料 4ページ 2.サマリー情報 (

PowerPoint プレゼンテーション

Microsoft Word 第１章　定款.doc

Microsoft Word - 新提案書作成･審査要領、提案書作成様式(別添３,4）

Microsݯft Word - 91 forܠ2009November.docx

4. その他 (1) 期中における重要な子会社の異動 ( 連結範囲の変更を伴う特定子会社の異動 ) 無 (2) 簡便な会計処理及び四半期連結財務諸表の作成に特有の会計処理の適用有

b) 参加表明書の提出時において東北地方整備局 ( 港湾空港関係を除く) における平成年度土木関係建設コンサルタント業務に係る一般競争 ( 指名競争 ) 参加資格の認定を受けて

別紙第号高知県立学校授業料等徴収条例の一部を改正する条例議案高知県立学校授業料等徴収条例の一部を改正する条例を次のように定める平成 26 年 2 月日提出高知県知事尾

(5 ) 当該指定居宅介護事業所の新規に採用した全ての居宅介護従業者に対し熟練した居宅介護従業者の同行による研修を実施していること (6 ) 当該指定居宅介護事業

1 林地台帳整備マニュアル( 案 )について林地台帳整備マニュアル( 案 )の構成構成記載内容第 1 章はじめに本マニュアルの目的記載内容について説明しています第 2 章第 3 章第 4 章第 5 章第 6 章林地

Taro-08国立大学法人宮崎大学授業

(2) 広島国際学院大学 ( 以下大学という ) (3) 広島国際学院大学自動車短期大学部 ( 以下短大という ) (4) 広島国際学院高等学校 ( 以下高校という ) ( 学納金の種類 ) 第 3 条

の購入費又は賃借料 (2) 専用ポール等機器の設置工事費 (3) ケーブル設置工事費 (4) 防犯カメラの設置を示す看板等の設置費 (5) その他設置に必要な経費 ( 補助金の額 ) 第 6 条補

2. 会計規程の業務 (1) 規程と実際の業務の調査規程や運用方針に規定されている業務 ( 帳票 )が実際に行われているか( 作成されているか)どうかについて調べてみた以下の表は規程の条項とそこに

2 1.ヒアリング対象 (1) 対象範囲分類年金医療保険雇用保険税備考厚生年金の資格喪失国民年金の加入老齢給付裁定請求など健康保険の資格喪失国民健康保険の加入健康保険

Transcription:

ファジング実践資料 (テストデータ編 ) ファジング活用の手引き別冊効果的なファジングツールの選定につながるテストデータの理解 2016 年 3 月

本書は以下の URL からダウンロードできますファジング活用の手引き別冊ファジング実践資料 (テストデータ編 ) https://www.ipa.go.jp/security/vuln/fuzzing.html

目次目次... 1 本書の要旨... 2 本書の想定読者... 3 本書の構成... 3 本書を読む上での注意事項... 3 1. ファジングの要点... 4 2. 背景... 5 2.1. 製品開発におけるファジング導入の推進... 5 2.2. 効果的なファジングツール選定につながるテストデータの理解... 5 3. ファジングにおけるテストデータ... 6 3.1. ファジングにおけるテストデータとは... 6 3.2. データ構造のどの部分をどのように細工するか... 8 3.3. テストデータのまとめ... 21 4. テストデータの実例... 21 4.1. IP パケットのテストデータ... 22 4.2. TCP パケットのテストデータ... 26 4.3. HTTP リクエストのテストデータ... 31 4.4. UPnP リクエストのテストデータ... 32 4.5. JPEG 画像のテストデータ... 34 4.6. 無線 LAN フレームのテストデータ... 38 5. テストデータに関する知識の活用... 40 5.1. 一歩進んだ知識の活用 :ファジングツールの独自開発... 40 6. おわりに... 42 7. 本書に関連する仕様 / 規格... 42 付録 : 検出できるテストデータが分かる脆弱性情報... 43 1

ファジング実践資料 (テストデータ編 ) ~ 効果的なファジングツールの選定につながるテストデータの理解 ~ 2013 年 11 月 7 日 IPA( 独立行政法人情報処理推進機構 ) セキュリティセンター本書の要旨本書はセキュリティテストファジング (1 章参照 )で問題を検出するためのテストデータに焦点を当てた実践資料である効果的にファジングを実践するためにはファジングツールの特徴をふまえて複数のファジングツールを活用することが有効であるこれを実践するためにはファジングにおけるテストデータの理解が欠かせない本書では IPA が 24 種類のファジングツールを使用した経験をもとにファジングにおけるテストデータの考え方データ構造のどの部分をどのように細工するかを解説しているまた可能な範囲でテストデータの実例も掲載してテストデータの理解を深めることができるように工夫した本書でファジングにおけるテストデータを知っていただき特徴の違うファジングツールを選定して効果的なファジングを実践していただきたいさらに本書で紹介してテストデータの考え方がファジングツールの独自開発の一助となれば幸いである 2

本書の想定読者製品開発企業においてファジングを活用している技術者製品開発企業におけるテスト関係者 (テスト計画の立案者や実際のテスト担当者など) 本書の構成本書は 7 つの章と 1 つの付録で構成されているまず 1 章と 2 章で本書を読む上での前提知識 ( ファジングの要点や本書をまとめる経緯 )を説明する続く 3 章ではファジングにおけるテストデータの考え方を説明する 4 章では 3 章で説明したテストデータの考え方を具体的にイメージできるようにテストデータの実例を紹介するそして 5 章では本書で解説したテストデータに関する知識をどう活用すればよいか IPA の考えを述べる最後に 6 章にて本書を締める 7 章には本書に関連する仕様と規格を掲載しているそして付録にはその脆弱性を検出できるテストデータが分かる脆弱性情報を掲載している本書を読む上での注意事項 IPA が使用したファジングツールの特徴を抽象化してテストデータの実例を交えながら本書をまとめたしたがって次の 2 つの制約がある本書ではテストデータに関する事項を網羅していない本書のテストデータを使うことで必ず脆弱性を検出できるわけではない 3

1. ファジングの要点まず本書を読むためにファジングの要点を説明しようファジング( 英名 :fuzzing) とは多数の問題を起こしそうなデータ( 例 : 極端に長い文字列 )を対象製品に送り込み対象製品の動作状態 ( 例 : 製品が異常終了する)から脆弱性などを発見するテスト手法である本書ではこの問題を起こしそうなデータをテストデータ 1 と呼ぶ図 1 にファジングの 2 つの特徴を示したこれらのうち特にファジングツールによってテストデータが異なることを覚えておいてほしいファジングそのものに興味を持たれた方はファジング活用の手引きなどのファジング関連資料 2 を参照してほしい図 1 ファジングの特徴 1 ファズ( 英名 :fuzz)と呼ばれることもある 2 IPA:ファジング活用の手引き https://www.ipa.go.jp/security/vuln/fuzzing.html 4

2. 背景 2.1. 製品開発におけるファジング導入の推進 IPA では 2011 年 8 月からファジングの有効性実証と普及推進を行う脆弱性検出の普及活動 3 を実施している 2013 年 6 月までに組込み製品 21 製品 (ブロードバンドルータやスマートテレビなど)に対するファジングで合計 24 件の脆弱性を検出しファジングの有効性を実証してきたそしてこのファジング実績で得られた知見をもとに製品開発企業にファジングの普及啓発をすすめている IPA の活動を通じて新たにファジングの導入を検討する製品開発企業も出てきており少しずつではあるがファジングを意識する製品開発企業が増えている 2.2. 効果的なファジングツール選定につながるテストデータの理解ファジング実績から IPA では次のようなファジング活用方法を導き出した可能な限りさまざまな機能に対してファジングを実施する検出できる脆弱性を補うために複数のファジングツールを使用するこの活用方法を実践するためにはファジングツールごとのテストデータの違いを理解する必要があるファジングツールが送るテストデータを理解していないと製品の機能に合わせてファジングツールを選べずファジングツールごとの検出できる脆弱性の違いを判断できないしかしファジングツールのテストデータは一般的にブラックボックスな状態であるためファジングツールを試用してテストデータを調べなければならないこれに加えて IPA が把握している限りではファジングにおけるテストデータを解説している資料は少ないファジングの専門書籍のなかにはテストデータに解説している書籍もあるが入門書に位置づけられるものではないそこでテストデータを解説することで効果的なファジングツールの選定につながると考えこれまで IPA が 24 種類のファジングツール 4 を使って検証を重ねてきた経験を基に本書をまとめた 3 IPA:ソフトウェア製品における脆弱性の減少を目指す脆弱性検出の普及活動を開始 https://www.ipa.go.jp/about/press/20110728.html 4 商用製品 2 種類オープンソースソフトウェア 22 種類のファジングツールである 5

3. ファジングにおけるテストデータ本章ではファジングにおけるテストデータを明確にしてそのテストデータにおける考え方データのどの部分をどのように細工するかを解説する 3.1. ファジングにおけるテストデータとはファジングにおけるテストデータとは製品に何か問題を起こしそうなデータである製品が受け取るデータの仕様に則っていない 5 データをテストデータとしてイメージしていただきたい 3.1.1. 製品が受け取るデータ製品はさまざまなデータを受け取る製品がネットワークで通信するのであれば通信データを受け取るそしてこの通信データの中身も製品によって異なるまた画像や動画などを再生する機能を持つ製品であれば画像ファイルや動画ファイルなどを受け取る製品が受け取るデータには仕様などでデータ構造が決められている製品はこのデータ構造をもとにデータを解釈する表 3-1 に 3 種類の製品が受け取るデータとそのデータ構造の関係をまとめた表 3-1 のウェブサーバを例にウェブサーバが受け取るデータを考えてみようウェブサーバはウェブブラウザなどから HTTP リクエストを受け取るこの HTTP リクエストのデータ構造はアプリケーションプロトコル HTTP(Hyper Text Transfer Protocol) 6 で決められているウェブサーバは受け取ったデータを HTTP に則って解釈しそのリクエストにあわせて応答する表 3-1 製品が受け取るデータとそのデータ構造製品受け取るデータデータ構造ネットワークで通信する製品パケットデータ IPやTCPなどのネットワークプロトコル画像を取り扱う製品画像ファイル JPEG などの画像形式ウェブサーバ HTTP リクエスト HTTP もし受け取ったデータがデータ構造において異常なものであった場合製品に何らかの問題が生じる可能性があるデータの一部が壊れた HTTP リクエストを受け取りウェブサーバが異常終了してしまう様子をイメージしていただきたいファジングツールはこのように問題を起こしそうなデータを意図的に作りそれで製品に問題が起きないかテストする 5 RFC(Request For Comment)で規定されているネットワークプロトコルなどの場合には RFC に準拠していないデータが該当する 6 RFC2616:Hypertext Transfer Protocol -- HTTP/1.1 http://tools.ietf.org/html/rfc2616 6

3.1.2. ファジングツールによるテストデータの作り方ファジングツールのテストデータの作り方は製品が受け取るデータのデータ構造を解釈するかどうかで大きく 2 種類に分かれる表 3-2 はその 2 種類の作り方を示している表 3-2 ファジングツールのテストデータの作り方 No データ構造の解釈テストデータの作り方 1 解釈するデータ構造の要素をそれぞれ細工してテストデータを作る 7 2 解釈しない元となるデータを読み込みそのデータをランダムに変更する 8 まったくランダムな値からデータを作る 9 表 3-2 の No.1, No.2 どちらの作り方でも理論的には同じテストデータができるしかし No.2 の作り方は無尽蔵に時間が掛かってしまうため多くのファジングツールは No.1 の作り方を採用している IPA が使用したファジングツールも No.1 の作り方を採用しているものが多かった No.1 の作り方にもデータ構造の要素を細工する方法が色々あるため No.1 の作り方を採用していてもファジングツールごとにテストデータが異なるしたがって No.1 の作り方におけるデータ構造の要素を細工する方法を理解するとファジングツールの特徴が分かるようになるそこで 3.2 節から IPA が使用したファジングツールのデータを細工する方法を抽象化して No.1 のデータを細工する考え方をまとめたなお本節以降特に断りなくテストデータと書いた場合には No.1 の方法で作るテストデータを指しファジングツールと書いた場合には No.1 の方法でテストデータを作るファジングツールを指す 7 Generation based fuzzing Smart fuzzing Intelligent fuzzing などと呼ばれる 8 Mutation based fuzzing などと呼ばれる 9 Dumb fuzzing などと呼ばれる 7

3.2. データ構造のどの部分をどのように細工するかファジングツールは対象製品が受け取るデータをもとにテストデータを作るこのテストデータを作るときにはデータ構造のどの部分をどのように細工するかが重要となる図 2 はファジング対象の製品が受け取るデータとそのデータをもとに作ったテストデータの例を示しているこの製品はフィールド 1 フィールド 2 フィールド 3 フィールド 4 の 4 つの要素を持つデータを受け取る( 図 2 上部 ) このデータのフィールド 1 の値を極端に長い文字列 (AAA...)に置き換えるとそのデータはテストデータとなる( 図 2 下部 ) このようにファジングツールは対象製品が受け取るデータの要素を細工してテストデータを作るファジングツールによってデータ構造の細工する箇所 ( どの部分 )と細工方法 ( どのように細工するか)が異なる図 2 の例ではフィールド 1 という一つの要素を対象としたがフィールド 1 とフィールド 2 のように複数個の要素を対象とする場合もあるまた図 2 の例では特定の値に置き換えたがフィールド 1 の値そのものを削除してしまう場合もあるこのデータ構造の細工する箇所細工方法を 3.2.1 節 3.2.2 節で詳しく解説していきたい図 2テストデータの例 8

3.2.1. 細工する箇所 :データ構造のどの部分を細工するのか対象製品が受け取るデータのすべての部分がテストデータを作るための細工する箇所になりえる HTTP リクエストと TCP パケットの 2 つを例に挙げてデータのすべての部分が細工する箇所となりえることを説明するまず HTTP リクエストを例に挙げて説明しようウェブサーバに対するファジングを考えるとファジングツールはウェブサーバが受け取る HTTP リクエストを細工してテストデータを作る図 3 は HTTP リクエストの例を示している HTTP リクエストのデータ構造は RFC2616 10 で規定されている HTTP は HTTP ヘッダと HTTP ボディの 2 つの要素で構成されるそして HTTP ヘッダにはリクエストラインと複数の HTTP ヘッダ(Host ヘッダや User-Agent ヘッダなど)の要素があるこれらの HTTP のどの要素も細工する対象となりえる HTTP リクエストにおいて細工できる箇所を具体的にみてみよう図 3 の HTTP リクエストを細工してテストデータを作る場合 HTTP ヘッダの名前 ( 図 3 青色部分 )や HTTP ヘッダの値 ( 図 3 赤色部分 ) HTTP ヘッダの名前と値 ( 図 3 緑色部分 ) 複数の HTTP ヘッダ ( 図 3 灰色部分 )などを細工することが考えられる図 3 HTTP リクエストの細工する箇所 10 RFC 2616 - Hypertext Transfer Protocol -- HTTP/1.1 http://tools.ietf.org/html/rfc2616 9

続いて TCP パケットを例に挙げて説明しよう TCP 11 で通信するソフトウェアに対するファジングを考えるとファジングツールはそのソフトウェアが受け取る TCP パケットを細工してテストデータを作る図 4 は RFC793 で規定されている TCP のデータ構造を示している TCP パケットはこのデータ構造を基に構成される TCP では 1 ビット単位で要素が規定されているが HTTP と同様に TCP のどの要素も細工する対象となりえる TCP パケットにおいて細工できる箇所を具体的にみてみよう TCP パケットを細工してテストデータを作る場合 Sequence Number ヘッダ ( 図 4 青色部分 )や Window ヘッダ ( 図 4 赤色部分 ) Options ヘッダ ( 図 4 緑色部分 )などを細工することが考えられるまたヘッダの一部分だけではなく複数の部分をまとめて細工すること( 図 4 青色部分と赤色部分など)も考えられる図 4 TCP パケットの細工する箇所 HTTP リクエストや TCP パケットの例のように対象製品が受け取るデータのデータ構造に則っていればデータのどの部分も細工する対象となりえるただし検査効率化のため一部のフィールドを対象外とすることもある 11 RFC 793 - Transmission Control Protocol http://tools.ietf.org/html/rfc793 10

3.2.2. 細工方法 : どのように細工するのかファジングツールは選んだ箇所をデータ構造と照らし合わせたときに異常なものとなるように細工する IPA が使用してきたファジングツールを分析すると (a), (b), (c)の 3 種類の細工方法が用いられていたこの 3 種類の細工方法を(a), (b), (c)の順番に説明していきたい (a) 特定の値に細工する (b) データ構造そのものを細工する (c) データ間のつながりを細工する本節では細工方法を説明するためにネットワークプロトコルやファイル形式などの仕様 / 規格を多数引用しているがそれらを熟知している必要はない本節を読む上で必要な事項については文中で解説している仕様 / 規格そのものを確認したい場合 7 章を参照していただきたい (a) 特定の値に細工するファジングツールの細工方法にはデータ構造における値を特定の値に細工する方法がある図 5 はその細工方法のイメージ図であるファジングツールはデータ構造の細工する部分に合わせて特定の値を選びその値で該当部分を置き換えたりその値を挿入したりする特定の値には特定の脆弱性検出に特化した値や特別な意味を持つ値などがある表 3-3 に特定の脆弱性検出に特化した値の例表 3-4 に特別な意味を持つ値の例を示す特定の脆弱性検出に特化した値にはバッファオーバーフローの脆弱性を検出する極端に長い文字列や書式文字列の問題を検出する書式文字列または数値処理に関する問題を検出する意味のある数値などがある特別な意味を持つ値には C 言語などの言語処理系で文字列の終端を意味するヌルバイトやデータ構造における要素の区切りを意味する区切り文字などがある特定の値に細工するファジングツールテストデータ対象製品データ構造の値に注目して特定の値に細工するフィールド1 フィールド3 フィールド2 フィールド4 図 5 特定の値に細工する(イメージ図 ) 11

表 3-3 特定の脆弱性検出に特化した値の例脆弱性名値バッファオーバーフローの脆弱性極端に長い文字列 ( 例 : A 1000 個以上 ) 書式文字列の問題 C 言語の printf() 関数などで使う書式文字列 ( 例 : %s%s%s%s ) 数値処理に関する問題 ( 整数オーバーフローの脆弱性など) バッファの上限値や下限値として使われそうな数値やプログラミング言語のデータ型のサイズに関連する数値 ( 例 :0, 65535 や 65536) 表 3-4 特別な意味を持つ値の例特別な意味を持つ値値ヌルバイト(NULL) 0x00 (16 進数表記 ) (C 言語などの言語処理系では文字列の終端を意味する) 区切り文字データ構造におけるデータの区切りを意味する値例 1: 改行コード( 0x0d (16 進数表記 )や 0x0a (16 進数表記 )) 例 2: や # 具体的なイメージを掴むために HTTP リクエストのテストデータを例示しよう図 6 は HTTP リクエストを特定の値に細工する様子を示している図 6 では HTTP リクエストにおける URI / を細工してテストデータを作る URI / を極端に長い文字列に置き換えると URI を処理する部分にバッファオーバーフローの脆弱性がないかテストするデータになる HTTP リクエストラインにおけるURI / を細工する極端に長い文字列 (AAA ) に置き換える GET / HTTP/1.1 Host: www.ipa.go.jp User Agent: Mozilla/5.0 (Windows Accept: text/html, Accept Language: ja,en us;q=0.7,en;q=0.3 Accept Encoding: gzip, deflate DNT: 1 Connection: keep alive GET AAAAAAAAAAAAAAAAA HTTP/1.1 Host: www.ipa.go.jp User Agent: Mozilla/5.0 (Windows Accept: text/html, Accept Language: ja,en us;q=0.7,en;q=0.3 Accept Encoding: gzip, deflate DNT: 1 Connection: keep alive 図 6 HTTP リクエストを特定の値で細工する様子テストデータ実例 :4.3 節 4.4.1 節 4.5.1 節へ 12

(b) データ構造そのものを細工するファジングツールの細工方法にはデータ構造そのものを細工する方法がある図 7 はその細工方法のイメージ図であるデータ構造そのものを細工するというとイメージしづらいが仕様などで決まっているデータ構造から逸脱するように意図的にデータ構造を壊すと理解していただくとよいだろうデータ構造そのものを細工する方法として次の1から4の 4 種類の方法を取り上げるこの 4 種類の方法を 1 2 3 4の順番に説明していきたい 1 仕様で明確に決まっていない値などに細工する 2 同じ要素を一定回数繰り返す 3 データ長と実際のデータの長さを矛盾させる 4 データ構造全体を仕様と異なるように細工するデータ構造そのものを細工するファジングツールテストデータ対象製品データ構造そのものに注目して仕様などで決まっているデータ構造から逸脱するように意図的にデータ構造を壊すフィールド1 フィールド3 フィールド2 フィールド4 図 7 データ構造そのものを細工する(イメージ図 ) 13

1 仕様で明確に決まっていない値などに細工するこの細工方法では細工する箇所を仕様で明確に決まっていない値などで置き換えたり挿入したりするこの仕様で明確に決まっていない値には仕様で規定されていない値や今後の拡張などを意識して予約されている値などがある具体的なイメージを掴むために無線 LAN のテストデータを例示しよう図 8 は無線 LAN でやり取りされる無線 LAN フレームに仕様で明確に決まっていない値を追加する様子を示している無線 LAN フレームのデータ構造は IEEE Std 802.11 12 で決められているこの規格では Information Element( 以降 IE) という部分が定義されている( 青枠部分 ) そしてこの IE には予約状態となっている要素が多くあり Element ID 129 13 はそれらの一つである無線 LAN フレームに ElementID 129 の IE を追加すると仕様で明確に決まっていない ElementID 129 があったときに問題が起きないかテストするデータとなる図 8 無線 LAN フレームに仕様で明確に決まっていない値を追加する様子テストデータ実例 :4.6 節へ 12 IEEE Std 802.11-2012 http://standards.ieee.org/findstds/standard/802.11-2012.html 13 p.474 8.4.2.1 General, "IEEE Std 802.11-2012" 14

2 同じ要素を一定回数繰り返すこの細工方法ではデータ構造の細工する部分を一定回数繰り返す繰り返す回数はファジングツールに依存する具体的なイメージを掴むために HTTP リクエストのテストデータを例示しよう図 9 は HTTP リクエストの要素を一定回数繰り返す様子を示している図 9 では HTTP リクエストの Host ヘッダのヘッダ名および値を細工してテストデータを作る Host ヘッダのヘッダ名および値を 5 回繰り返すと同じ Host ヘッダが複数あるときに問題が起きないかテストするデータになる Hostヘッダのヘッダ名および値を細工する Hostヘッダのヘッダ名および値を5 回繰り返す GET / HTTP/1.1 Host: www.ipa.go.jp User Agent: Mozilla/5.0 (Windows Accept: text/html, Accept Language: ja,en us;q=0.7,en;q=0.3 Accept Encoding: gzip, deflate DNT: 1 Connection: keep alive GET / HTTP/1.1 Host: www.ipa.go.jp Host: www.ipa.go.jp Host: www.ipa.go.jp Host: www.ipa.go.jp Host: www.ipa.go.jp User Agent: Mozilla/5.0 (Windows Accept: text/html, Accept Language: ja,en us;q=0.7,en;q=0.3 Accept Encoding: gzip, deflate DNT: 1 Connection: keep alive 図 9 HTTP リクエストの要素を一定回数繰り返す様子テストデータ実例 :4.4.2 節へ 15

3 データ長と実際のデータの長さを矛盾させるこの細工方法ではデータ構造におけるデータ長を実際のデータの長さと矛盾する値で置き換えるデータ構造のなかにはデータのタイプデータ長そしてデータの値の 3 つの要素で構成されるデータ構造 ( 以降 TLV 構造 14 )がある TLV 構造におけるデータ長は一般的にこれら 3 つの要素全体の長さまたはデータの値の長さを示すこのデータ長をそれが示す長さよりも大きな値や小さな値に置き換えることで TLV 構造に矛盾を生じさせてしまう具体的なイメージを掴むために TCP パケットのテストデータを例示しよう図 10 は TCP Options ヘッダ Window Scale Option のデータ長を細工する様子を示している Window Scale Option は TLV 構造でありそのデータ長 Length は RFC1323 15 で 3 と定義されている( 図 10 の青色部分 ) この Length を 3 以外の値にすると Window Scale Option を取り扱うときに問題が起きないかテストするデータとなる( 図 10 では Length を 0 とした) 図 10 TCP Options ヘッダ Window Scale Option のデータ長を細工する様子テストデータ実例 :4.6 節へ 14 Tag-Length-Value(TLV) または Type-Length-Value(TLV) 構造と呼ばれることがある 15 2.2 Window Scale Option, RFC 1323 - TCP Extensions for High Performance, http://tools.ietf.org/html/rfc1323#section-2 16

4 データ構造全体を仕様と異なるように細工するこの細工方法ではデータ構造全体を仕様と異なるように細工する仕様と異なるように細工する方法にはデータ構造の要素の順序を仕様と異なるものに変えることや仕様で定義されていない要素を追加することなどがある具体的なイメージを掴むために JPEG 画像ファイルのテストデータを例示しよう図 11 は Exif 16 形式の JPEG 画像ファイルを仕様と異なるように細工する様子を示している Exif 形式のデータ構造はデジタルスチルカメラ用画像ファイルフォーマット規格 Exif 2.3 17 という規格で決められている Exif 形式の JPEG 画像ファイルは複数のセグメント(SOI セグメントや APP1 セグメントなど)と呼ばれる要素で構成される Exif 形式の規格によると SOI セグメントの後には APP1 セグメントが続くことになっているこの SOI セグメントの後に余分な SOF セグメントを追加するとセグメントの順序が Exif 形式の規格と異なっているときに問題が起きないかテストするデータとなる Exifの規格では SOIセグメントの次にはAPP1 セグメントが続く SOI APP1 DQT DHT SOF SOS SOIセグメントの後に余分なSOFセグメントを追加する( 既存の SOF セグメントはそのままとする) SOI SOF APP1 DQT DHT SOF SOS 圧縮データ EOI 圧縮データ EOI p.14 2.5.4 JPEG 圧縮データの基本構造, デジタルスチールカメラ用画像ファイルフォーマット規格 Exif 2.3, p.68 2.7. 使用するJPEGメーカセグメント, デジタルスチールカメラ用画像ファイルフォーマット規格 Exif 2.3 の情報を基に作成 http://www.cipa.jp/hyoujunka/kikaku/pdf/dc 008 2010_J.pdf 図 11 Exif 形式の JPEG 画像ファイルにおけるテストデータの例テストデータ実例 :4.5.2 節へ 16 Exchangeable image file format for digital still cameras JPEG 画像のデータ形式の一つである 17 デジタルスチルカメラ用画像ファイルフォーマット規格 Exif 2.3 http://www.cipa.jp/std/documents/j/dc-008-2012_j.pdf 17

(c) データ間のつながりを細工するファジングツールの細工方法には複数のデータのデータ間のつながりを細工する方法がある図 12 はその細工方法のイメージ図であるデータ構造によってはそれぞれのデータのつながりを意味する要素がある例えばネットワークプロトコル IP(Internet Protocol) であれば IP ヘッダ Fragment Offset 18 TCP であれば TCP ヘッダ Sequence Number 19 が挙げられるこれらの要素を細工することでデータ間のつながりに問題を生じさせる具体的なイメージを掴むために IP ヘッダ Fragment Offset を細工するときの考え方 TCP ヘッダ Sequence Number を細工するときの考え方を例示しようデータ間のつながりを細工するファジングツールデータ間のつながりを意味する要素 (この図ではフィールド3 )に注目してデータ間のつながりに問題が生じるように細工するテストデータ(1/n) フィールド1 フィールド3 テストデータ(1/n) フィールド2 フィールド4 テストデータ(2/n) フィールド1 フィールド3 テストデータ(2/n) テストデータ(3/n) フィールド2 フィールド4 テストデータ(3/n) フィールド1 フィールド3 フィールド2 フィールド4 対象製品図 12 データ間のつながりを細工する(イメージ図 ) 18 Fragment Offset, 3.1. Internet Header Format, RFC791, http://tools.ietf.org/html/rfc791#section-3.1 19 3.3. Sequence Numbers, RFC793, http://tools.ietf.org/html/rfc793#section-3.3 18

IP ヘッダ Fragment Offset を細工するときの考え方 Fragment Offset は複数の IP パケットにデータを分割したときにそれぞれの IP パケットがデータのどの部分を送っているかを示す値であるネットワークの最大伝送単位 (MTU:Maximum Transmission Unit)を超えるデータを IP パケットで送信するとき複数の IP パケットにデータを分割して送るこのときそれぞれの IP パケットの Fragment Offset にはその IP パケットのデータが分割する前のどの部分であるかを示す値が設定されるデータを分割した IP パケット群を受け取った製品は Fragment Offset をもとに元のデータを組み立てる具体的な例を考えてみよう図 13 は最大伝送単位が 1500 バイトのネットワークにおいて 3680 バイトのデータを 3 つの IP パケットに分割して送る様子を示している 3680 バイトのデータは 1480 バイトのデータを持つ IP パケット1 2 残る 720 バイトのデータを持つ IP パケット3に分割して送信されるこのとき IP パケット1 2 3の Fragment Offset はそれぞれ 0 1480 2960 となる図 13 の IP パケットにおける Fragment Offset を細工するときには次のような細工方法がある実際に過去に IP ヘッダ Fragment Offset に起因した脆弱性が発見されて修正されている 20 1の Fragment Offset を 0 以外の値とする 2の Fragment Offset を 1480 以外の値 ( 1480 より大きい値小さい値 )とする 3の Fragment Offset を 2960 以外の値 ( 2960 より大きい値小さい値 )とする前述 3 つの細工方法を組み合わせる 3680バイトのデータをIPパケットで送る場合 : 1480バイト 2960バイト 3680バイト 1Fragment Offset = 0 2Fragment Offset = 1480 3Fragment Offset = 2960 図 13 3680 バイトのデータを 3 つの IP パケットに分割して送る様子テストデータ実例 :4.1 節へ 20 IPA: TCP/IP に係る既知の脆弱性に関する調査報告書改定第 5 版 pp.166-171 22). フラグメントパケットの再構築時にシステムがクラッシュする問題 (Teardrop Attack) http://www.ipa.go.jp/files/000024459.pdf 19

TCP ヘッダ Sequence Number を細工するときの考え方 Sequence Number は TCP パケットがデータのどの部分を送っているかを示す値である TCP ではこの Sequence Number とデータを受け取る側がデータのどの部分まで受け取ったかを示す Acknowledge Number を組み合わせて伝送経路においてデータの損失を防ぐ信頼性のある通信を実現する具体的な例を考えてみよう図 14 は最大伝送単位が 1500 バイトのネットワークにおいて 3680 バイトのデータを 3 つの TCP パケットで順番に送る様子を示している 3680 バイトのデータは 1460 バイトのデータ1 2 残る 760 バイトのデータ3に分けて順番に送られるまず1のデータを TCP パケットで送るときには Sequence Number に 1 を設定するすると 1のデータを受け取った対象製品から次に期待するデータの位置 1461 を Acknowledge Number に設定した TCP パケットが応答される続く2のデータでは Sequence Number に 1461 を設定した TCP パケットを送り Acknowledge Number に 2921 が設定された TCP パケットが応答される最後の3のデータでは Sequence Number が 2921 Acknowledge Number が 3681 となる図 14 の TCP パケットにおける Sequence Number を細工するときには次のような細工方法がある 1を送る TCP パケットの Sequence Number を 1 以外の値とする 2を送る TCP パケットの Sequence Number を 1461 以外の値とする 3を送る TCP パケットの Sequence Number を 2921 以外の値とする前述 3 つの細工方法を組み合わせる 3680バイトのデータをTCPパケットで順番に送る場合 : 1 2 3 1460バイト 2920バイト 3680バイト TCP SYN+ACK TCP SYN TCP ACK ファジングツール Ack(*2)=1461 Seq(*1)=1 Seq=1461 1を送るTCP 2を送るTCP 対象製品 Ack=2921 Seq=2921 3を送るTCP Ack=3681 (*1):Sequence Number(シーケンス番号 ) (*2):Acknowledge Number( 確認応答番号 ) 図 14 3680 バイトのデータを 3 つの TCP パケットで順番に送る様子テストデータ実例 :4.2 節へ 20

3.3. テストデータのまとめ本章ではテストデータにおける考え方データのどの部分をどのように細工するかをどの部分とどのようにに分けて説明してきたファジングにおけるテストデータを考える上では次の 2 点を忘れないでほしいファジングではデータの構造におけるすべての部分を細工の対象として考えるもし検査時間がかかりすぎるのであれば一部分を細工の対象から外すファジングではデータ構造と照らし合わせたときに異常と判定されるようにデータを細工する 4. テストデータの実例本章では IPA の脆弱性検出の普及活動において実際に脆弱性を検出した 8 種類のテストデータを紹介する 3 章ではテストデータの考え方に終始しているため具体的なテストデータをイメージしづらい方もいらっしゃっただろうそこで本章では 3 章の考え方に即したテストデータを取り上げる 3 章の内容を念頭におきながら読んでほしいなお本書をまとめるうえでインターネットで公開されている脆弱性情報の中からその脆弱性を検出できるテストデータが分かるものを調査したテストデータの実例をより多く知りたい方にとって参考になると考えその脆弱性情報を付録に掲載した 21

4.1. IP パケットのテストデータこの節では IP ヘッダ Fragment Offset に本来の値とは異なる値が設定された IP パケットを紹介する表 4-1 はこのテストデータの細工箇所と細工方法を示しているデータのどの部分どのように細工したか表 4-1 IP パケットのテストデータ IP ヘッダ Fragment Offset データ間のつながりを細工した関連 : 3.2.2(c) このテストデータは IP アドレス 192.168.11.20 から 192.168.11.1 に送信された IP パケットである図 15 はそのテストデータの一部をパケット解析ツール Wireshark 21 で表示した様子を示している図 15 の赤枠部分に注目してほしいこの赤枠部分は 2 つ目の IP パケットの Fragment Offset を示している 1 つ目の IP パケットのデータは 8 バイトであるため( 図 15 青枠部分 ) 赤枠部分の Fragment Offset は正しくは 8 となるしかし実際には 16 となっている図 15 Fragment Offset を細工した IP パケット 21 https://www.wireshark.org/ 22

さらにこのテストデータを詳しくみてみよう図 16 は図 15 のパケットを時系列で並べた様子 22 を示している図 16 の[Comment] 列に表示されている off 部分が Fragment offset に該当する( 図 16 の赤枠部分 ) IP パケットの Fragment offset には一つ前の IP パケットで送信したデータのデータ長を加算した値が設定されるこのテストデータの場合各 IP パケットのデータがすべて 8 バイトであるため Fragment offset が 0, 8, 16, と 8 ずつ加算されるはずである( 図 16 青枠部分 ) しかし実際には 0, 16, 32, と一つ前のパケットで送信したデータを無視して 16 ずつ加算されていた図 16 IP パケットのテストデータを時系列に並べた様子参考までにこのテストデータの最初の 3 つの IP パケットをテキスト形式で掲載するなお製品の特定につながる恐れがあるため IP パケットに含まれる送信先 MAC アドレスと送信元 MAC アドレスをそれぞれ 11:11:11:11:11:11 22:22:22:22:22:22 に置換していることに注意していただきたい Frame 1: 60 bytes on wire (480 bits), 60 bytes captured (480 bits) Ethernet II, Src: 22:22:22:22:22:22 (22:22:22:22:22:22), Dst: 11:11:11:11:11:11 (11:11:11:11:11:11) Internet Protocol Version 4, Src: 192.168.11.20 (192.168.11.20), Dst: 192.168.11.1 (192.168.11.1) Version: 4 Header length: 20 bytes Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00: Not-ECT (Not ECN-Capable Transport)) 22 テストデータを記録したパケットキャプチャファイルを Wireshark で開き [Statistics]メニューの[Flow Graph ]を実行した結果であるこの結果のスクリーンショットを取得してそれに筆者が青字で加筆した 23

0000 00.. = Differentiated Services Codepoint: Default (0x00).....00 = Explicit Congestion Notification: Not-ECT (Not ECN-Capable Transport) (0x00) Total Length: 28 Identification: 0x0004 (4) Flags: 0x01 (More Fragments) 0...... = Reserved bit: Not set.0..... = Don't fragment: Not set..1.... = More fragments: Set Fragment offset: 0 Time to live: 64 Protocol: ICMP (1) Header checksum: 0xc377 [correct] Source: 192.168.11.20 (192.168.11.20) Destination: 192.168.11.1 (192.168.11.1) Data (8 bytes) 0000 08 00 f7 ff 00 00 00 00... Data: 0800f7ff00000000 [Length: 8] Frame 2: 60 bytes on wire (480 bits), 60 bytes captured (480 bits) Ethernet II, Src: 22:22:22:22:22:22 (22:22:22:22:22:22), Dst: 11:11:11:11:11:11 (11:11:11:11:11:11) Internet Protocol Version 4, Src: 192.168.11.20 (192.168.11.20), Dst: 192.168.11.1 (192.168.11.1) Version: 4 Header length: 20 bytes Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00: Not-ECT (Not ECN-Capable Transport)) 0000 00.. = Differentiated Services Codepoint: Default (0x00).....00 = Explicit Congestion Notification: Not-ECT (Not ECN-Capable Transport) (0x00) Total Length: 28 Identification: 0x0004 (4) Flags: 0x01 (More Fragments) 0...... = Reserved bit: Not set.0..... = Don't fragment: Not set..1.... = More fragments: Set Fragment offset: 16 Time to live: 64 Protocol: ICMP (1) Header checksum: 0xc375 [correct] 24

Source: 192.168.11.20 (192.168.11.20) Destination: 192.168.11.1 (192.168.11.1) Data (8 bytes) 0000 08 00 f7 ff 00 00 00 00... Data: 0800f7ff00000000 [Length: 8] Frame 3: 60 bytes on wire (480 bits), 60 bytes captured (480 bits) Ethernet II, Src: 22:22:22:22:22:22 (22:22:22:22:22:22), Dst: 11:11:11:11:11:11 (11:11:11:11:11:11) Internet Protocol Version 4, Src: 192.168.11.20 (192.168.11.20), Dst: 192.168.11.1 (192.168.11.1) Version: 4 Header length: 20 bytes Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00: Not-ECT (Not ECN-Capable Transport)) 0000 00.. = Differentiated Services Codepoint: Default (0x00).....00 = Explicit Congestion Notification: Not-ECT (Not ECN-Capable Transport) (0x00) Total Length: 28 Identification: 0x0004 (4) Flags: 0x01 (More Fragments) 0...... = Reserved bit: Not set.0..... = Don't fragment: Not set..1.... = More fragments: Set Fragment offset: 32 Time to live: 64 Protocol: ICMP (1) Header checksum: 0xc373 [correct] Source: 192.168.11.20 (192.168.11.20) Destination: 192.168.11.1 (192.168.11.1) Data (8 bytes) 0000 08 00 f7 ff 00 00 00 00... Data: 0800f7ff00000000 [Length: 8] 25

4.2. TCP パケットのテストデータこの節では TCP ヘッダの Sequence Number に本来の値と異なる値が設定された TCP パケットを紹介する表 4-2 はこのテストデータの細工箇所と細工方法を示しているデータのどの部分どのように細工したか表 4-2 TCP パケットのテストデータ TCP ヘッダ Sequence Number データ間のつながりを細工した関連 : 3.2.2(c) このテストデータは IP アドレス 192.168.11.20 と 192.168.11.1 の間で送受信された TCP パケットである図 17 はこのテストデータの一部を Wireshark で表示した様子を示している図 17 の赤枠部分に注目してほしいこの赤枠部分は TCP 通信を確立したあと( 図 17 の青枠部分 )の最初の TCP パケットの Sequence Number を示している一つ前の TCP パケットは Sequence Number に 1 が設定され 0 バイトのデータをもつ TCP パケットであるこのため赤枠部分の Sequence Number は正しくは 1 となるしかしテストデータの Sequence Number は 9445 となっている図 17 Sequence Number を細工した TCP パケット 26

さらにこのテストデータを詳しくみてみよう図 18 は図 17 のパケットを時系列で並べた様子 23 を示している図 18 の [Comment] 列に表示されている Seq 部分が Sequence Number に該当する( 図 18 の赤枠部分 ) TCP パケットの Sequence Number には一つ前の TCP パケットで送信したデータのデータ長を加算した値が設定されるこのテストデータの場合各 TCP パケットのデータがすべて 8 バイトであるため Sequence Number が 1, 9, 17, 25, と 8 ずつ加算されるはずである( 図 18 青枠部分 ) しかし実際には 9445, 12209, 1693, と一つ前のパケットで送信したデータのデータ長を無視していた図 18 TCP パケットのテストデータを時系列に並べた図 23 テストデータを記録したパケットキャプチャファイルを Wireshark で開き [Statistics]メニューの[Flow Graph ]を実行した結果であるこの結果のスクリーンショットを取得して筆者が青字で加筆した 27

参考までにこのテストデータのうち TCP 通信を確立したあとに 192.168.11.20 から 192.168.11.1 に送信した 3 つの TCP パケットをテキスト形式で掲載するなお製品の特定につながる恐れがあるため IP パケットに含まれる送信先 MAC アドレスと送信元 MAC アドレスをそれぞれ 11:11:11:11:11:11 22:22:22:22:22:22 に置換していることに注意していただきたい Frame 4: 62 bytes on wire (496 bits), 62 bytes captured (496 bits) Ethernet II, Src: 22:22:22:22:22:22 (22:22:22:22:22:22), Dst: 11:11:11:11:11:11 (11:11:11:11:11:11) Internet Protocol Version 4, Src: 192.168.11.20 (192.168.11.20), Dst: 192.168.11.1 (192.168.11.1) Transmission Control Protocol, Src Port: 33329 (33329), Dst Port: 80 (80), Seq: 9445, Ack: 1, Len: 8 Source port: 33329 (33329) Destination port: 80 (80) [Stream index: 0] Sequence number: 9445 (relative sequence number) [Next sequence number: 9453 (relative sequence number)] Acknowledgment number: 1 (relative ack number) Header length: 20 bytes Flags: 0x018 (PSH, ACK) 000....... = Reserved: Not set...0...... = Nonce: Not set... 0...... = Congestion Window Reduced (CWR): Not set....0..... = ECN-Echo: Not set.....0.... = Urgent: Not set......1... = Acknowledgment: Set...... 1... = Push: Set.......0.. = Reset: Not set........0. = Syn: Not set.........0 = Fin: Not set Window size value: 65535 [Calculated window size: 65535] [Window size scaling factor: -2 (no window scaling used)] Checksum: 0xf7f4 [validation disabled] [SEQ/ACK analysis] [TCP Analysis Flags] [A segment before this frame wasn't captured] [Expert Info (Warn/Sequence): Previous segment not captured (common at capture start)] [Message: Previous segment not captured (common at capture start)] [Severity level: Warn] [Group: Sequence] 28

TCP segment data (8 bytes) Frame 5: 62 bytes on wire (496 bits), 62 bytes captured (496 bits) Ethernet II, Src: 22:22:22:22:22:22 (22:22:22:22:22:22), Dst: 11:11:11:11:11:11 (11:11:11:11:11:11) Internet Protocol Version 4, Src: 192.168.11.20 (192.168.11.20), Dst: 192.168.11.1 (192.168.11.1) Transmission Control Protocol, Src Port: 33329 (33329), Dst Port: 80 (80), Seq: 12209, Ack: 1, Len: 8 Source port: 33329 (33329) Destination port: 80 (80) [Stream index: 0] Sequence number: 12209 (relative sequence number) [Next sequence number: 12217 (relative sequence number)] Acknowledgment number: 1 (relative ack number) Header length: 20 bytes Flags: 0x018 (PSH, ACK) 000....... = Reserved: Not set...0...... = Nonce: Not set... 0...... = Congestion Window Reduced (CWR): Not set....0..... = ECN-Echo: Not set.....0.... = Urgent: Not set......1... = Acknowledgment: Set...... 1... = Push: Set.......0.. = Reset: Not set........0. = Syn: Not set.........0 = Fin: Not set Window size value: 65535 [Calculated window size: 65535] [Window size scaling factor: -2 (no window scaling used)] Checksum: 0xed28 [validation disabled] [SEQ/ACK analysis] [TCP Analysis Flags] [A segment before this frame wasn't captured] [Expert Info (Warn/Sequence): Previous segment not captured (common at capture start)] [Message: Previous segment not captured (common at capture start)] [Severity level: Warn] [Group: Sequence] TCP segment data (8 bytes) Frame 8: 62 bytes on wire (496 bits), 62 bytes captured (496 bits) 29

Ethernet II, Src: 22:22:22:22:22:22 (22:22:22:22:22:22), Dst: 11:11:11:11:11:11 (11:11:11:11:11:11) Internet Protocol Version 4, Src: 192.168.11.20 (192.168.11.20), Dst: 192.168.11.1 (192.168.11.1) Transmission Control Protocol, Src Port: 33329 (33329), Dst Port: 80 (80), Seq: 1693, Ack: 1, Len: 8 Source port: 33329 (33329) Destination port: 80 (80) [Stream index: 0] Sequence number: 1693 (relative sequence number) [Next sequence number: 1701 (relative sequence number)] Acknowledgment number: 1 (relative ack number) Header length: 20 bytes Flags: 0x018 (PSH, ACK) 000....... = Reserved: Not set...0...... = Nonce: Not set... 0...... = Congestion Window Reduced (CWR): Not set....0..... = ECN-Echo: Not set.....0.... = Urgent: Not set......1... = Acknowledgment: Set...... 1... = Push: Set.......0.. = Reset: Not set........0. = Syn: Not set.........0 = Fin: Not set Window size value: 65535 [Calculated window size: 65535] [Window size scaling factor: -2 (no window scaling used)] Checksum: 0x163d [validation disabled] [SEQ/ACK analysis] [Bytes in flight: 10524] [TCP Analysis Flags] [This frame is a (suspected) out-of-order segment] [Expert Info (Warn/Sequence): Out-Of-Order segment] [Message: Out-Of-Order segment] [Severity level: Warn] [Group: Sequence] TCP segment data (8 bytes) 30

4.3. HTTP リクエストのテストデータこの節では Host ヘッダを特定の値で置き換えた HTTP リクエストを紹介する表 4-3 はこのテストデータの細工箇所と細工方法を示しているデータのどの部分どのように細工したか表 4-3 HTTP リクエストのテストデータ HTTP における Host ヘッダの値特定の値 ( 特定の脆弱性検出に特化した値 )に細工した関連 : 3.2.2(a) このテストデータはウェブサーバ 192.168.11.1 に対して送信された HTTP リクエストであるこのテストデータのもととなった HTTP リクエストでは Host ヘッダの値に 192.168.11.1 が設定されていたこの Host ヘッダの値を 1024 個の A ( 赤字部分 )に置き換えた GET / HTTP/1.1 Host: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 31

4.4. UPnP リクエストのテストデータこの節では Body 部分を細工した UPnP リクエスト(1) (2)を紹介する表 4-4 はテストデータ(1)の細工箇所と細工方法表 4-5 はテストデータ(2)の細工箇所と細工方法を示しているなお UPnP リクエストからファジングを実施した製品を特定できる恐れがあるため UPnP リクエストを整形したうえで掲載した表 4-4 UPnP リクエストのテストデータ(1) データのどの部分 UPnP リクエストにおける Body 部分どのように細工したか特定の値 ( 特定の脆弱性検出に特化した値 )に細工した関連 : 3.2.2(a) 表 4-5 UPnP リクエストのテストデータ(2) データのどの部分 UPnP リクエストにおける Body 部分どのように細工したかデータ構造そのものを細工した関連 : 3.2.2(b) 2 4.4.1. UPnP リクエストのテストデータ(1) このテストデータは UPnP に対応した製品 192.168.11.1 に対して送信された UPnP リクエストであるこのテストデータのもととなった UpnP リクエストでは Body 部分の XML 要素 Element2 の値に文字 a が設定されていたこの a を文字列 00 00 00 00 ( 赤色部分 )に置き換えたこの 00 00 00 00 が文字列 10 進数の数値または 16 進数の数値の形式で解釈されるかは確認していないが少なくとももとの UpnP リクエストに比べてデータサイズが大きくなっているはずであるだがこのテストデータを作ったファジングツールは Body 部分のデータサイズを示す Content-Length ヘッダの値を修正していなかった( 赤字部分 ) そのため Content-Length ヘッダの値を解釈する過程で問題が生じた可能性もある( 実際には分からない) POST /UPnPControl HTTP/1.1 SOAPACTION: "urn:schemas:service:x_upnpcontrol:1#x_upnpcontrolaction" CONTENT-TYPE: text/xml ; charset="utf-8" HOST: 192.168.11.1:12345 Content-Length: 383 <?xml version="1.0" encoding="utf-8"?> <s:envelope s:encodingstyle="http://schemas.xmlsoap.org/soap/encoding/" xmlns:s="h ttp://schemas.xmlsoap.org/soap/envelope/"> <s:body> <u:x_upnpcontrolaction xmlns:u="urn:schemas:service:x_upnpcontrol:1"> <Element1>a</Element1> <Element2> </Element2> </u:x_upnpcontrolaction> 00 00 00 00 </s:body> </s:envelope> 32

4.4.2. UPnP リクエストのテストデータ(2) テストデータ(1)と同様にこのテストデータも UPnP に対応した製品 192.168.11.1 に送信された UPnP リクエストであるこのテストデータの場合特定の値に置き換えるのではなく Body 部分 ( 赤字部分 )を 15 回繰り返した POST /UPnPControl HTTP/1.1 SOAPACTION: "urn:schemas:service:x_upnpcontrol:1#x_upnpcontrolaction" CONTENT-TYPE: text/xml ; charset="utf-8" HOST: 192.168.11.1:12345 Content-Length: 4935 <?xml version="1.0"?><s:envelope s:encodingstyle="http://schemas.xmlsoap.org/soap /encoding/" xmlns:s="http://schemas.xmlsoap.org/soap/envelope/"> <s:body> <u:x_upnpcontrolaction xmlns:u="urn:schemas:service:x_upnpcontrol:1"> <Element1>a</Element1> <Element2>a</Element2> </u:x_upnpcontrolaction> </s:body> </s:envelope> <?xml version="1.0"?><s:envelope s:encodingstyle="http://schemas.xmlsoap.org/soap /encoding/" xmlns:s="http://schemas.xmlsoap.org/soap/envelope/"> <s:body> <u:x_upnpcontrolaction xmlns:u="urn:schemas:service:x_upnpcontrol:1"> <Element1>a</Element1> <Element2>a</Element2> </u:x_upnpcontrolaction> </s:body> </s:envelope>... ( 赤字部分を 12 回繰り返し)... <?xml version="1.0"?><s:envelope s:encodingstyle="http://schemas.xmlsoap.org/soap /encoding/" xmlns:s="http://schemas.xmlsoap.org/soap/envelope/"> <s:body> <u:x_upnpcontrolaction xmlns:u="urn:schemas:service:x_upnpcontrol:1"> <Element1>a</Element1> <Element2>a</Element2> </u:x_upnpcontrolaction> </s:body> </s:envelope> 33

4.5. JPEG 画像のテストデータこの節では Exif 形式の要素を細工した JPEG 画像 (1) (2)を紹介する表 4-6 はテストデータ(1)の細工箇所と細工方法表 4-7 はテストデータ(2)の細工箇所と細工方法を示している表 4-6 JPEG 画像 (Exif 形式 )のテストデータ(1) データのどの部分 SOF セグメントの垂直ライン数どのように細工したか特定の値 ( 特定の脆弱性検出に特化した値 )に細工した関連 : 3.2.2(a) 表 4-7 JPEG 画像 (Exif 形式 )のテストデータ(2) データのどの部分 Exif 形式のセグメント構造どのように細工したかデータ構造そのものを細工した関連 : 3.2.2(b) 4 4.5.1. JPEG 画像 (Exif 形式 )のテストデータ(1) このテストデータは SOF0 セグメントの垂直ライン数を細工した JPEG 画像である図 19 にこのテストデータ(1)の細工箇所と細工方法を図示した Exif 形式には画像データに関する情報 ( 画像の幅や高さなど)を記録する Start of Frame(SOF)セグメントという領域があるそしてこの SOF セグメントには画像の高さを意味する垂直ライン数が含まれている元の JPEG 画像の垂直ライン数は 480( 単位 :pixel)であったが( 図 19 の青色部分 ) これを 0 に置き換えた( 図 19 の赤色部分 ) 図 20 は JPEG 画像解析ツール Jpeg Analyzer plus 24 でこのテストデータを表示した様子を示している図 20 の赤枠部分に注目してほしい 640[0] x 0[0] pixel... という文字列を確認できるこの 0[0] pixel が画像の垂直ライン数を示している 24 デジカメ画像の Exif 情報を詳細に表示する画像ファイル解析ソフト JpegAnalyzer Plus http://homepage3.nifty.com/kamisaka/jpeganalyzer/ ダウンロード URL http://www.vector.co.jp/soft/dl/win95/art/se257653.html 34

図 19 テストデータ(1)の細工箇所と細工方法図 20 JpegAnalyzer Plus でテストデータ(1)を表示した様子 35

4.5.2. JPEG 画像 (Exif 形式 )のテストデータ(2) このテストデータは Exif 形式の規格 25 と異なるようにセグメント構造を細工した JPEG 画像である図 21 はテストデータ(2)のセグメント構造を示しているこのセグメント構造を Exif 形式の規格と照らし合わせてみると次の違いがある画像の先頭を示す Start of Image(SOI)セグメントの次に SOF0 セグメント 26 が存在する Exif 形式の規格によると SOI セグメントの後に APP1 セグメントが続くしかしこのテストデータでは SOI セグメントの後に SOF0 セグメントが続いている Application Segment 1(APP1)セグメントだけではなく Application Segment 0(APP0)が存在する Exif 形式の規格では APP1 セグメントに言及しているが APP0 セグメント 27 には言及していない図 22 は Jpeg Analyzer plus でこのテストデータを表示した様子を示している図 22 の赤枠部分に注目してほしい SOF0 と APP0 という文字列が確認できるだろうまた図 22 の中央部分の反転部分をみていただくとこの部分でも SOF0 という文字列を確認できるこのテストデータには SOF0 セグメントが 2 つ存在しているまた Jpeg Analyzer plus も警告メッセージを出力しているように SOI セグメントの後に続く SOF0 セグメントが異常な値となっていた結果的にこのテストデータのどの値で問題が生じたか実際には分からない SOI SOF APP0 APP1 COM DQT SOF0 DHT SOS SOIセグメントの後にSOF0セグメントが存在する APP1セグメントだけではなく APP0 セグメントが存在する圧縮データ EOI 図 21 テストデータ(2)のセグメント構造 25 デジタルスチルカメラ用画像ファイルフォーマット規格 Exif 2.3 http://www.cipa.jp/std/documents/j/dc-008-2012_j.pdf 26 SOF セグメントには画像データの符号化方式などの違いによって複数の種類がある SOF0 セグメントはそのうちの一つである 27 JPEG 画像のデータ形式の一つである JFIF 形式が定義しているセグメントである 36

図 22 JpegAnalyzer Plus でテストデータ(2)を表示した様子 28 28 コメントが含まれる COM セグメントの値にはファジングツールを示す文字列が含まれていたため伏字とさせていただいた 37

4.6. 無線 LAN フレームのテストデータこの節では Information Element ( 以降 IE )をランダムに細工した無線 LAN フレームを紹介する表 4-8 はこのテストデータの細工箇所と細工方法を示しているデータのどの部分表 4-8 無線 LAN フレームのテストデータ無線 LAN フレームの Information Element どのように細工したかデータ構造そのものを細工した関連 : 3.2.2(b) 1 3 このテストデータは MAC アドレス ff:ff:ff:ff:ff:ff に送信された無線 LAN フレームである図 23 はこのテストデータの一部を Wireshark で表示した様子を示しているこのテストデータには無線 LAN の規格 IEEE Std 802.11 29 で取り扱いが明確に決まっていない IE や実際のデータと矛盾するデータ長が設定された IE が複数含まれていた規格で取り扱いが明確に決まっていない IE 実際のデータと矛盾するデータ長が設定された IE をそれぞれ Tag Number 129 の IE ( 図 23 青枠部分 ) Tag Number 15 の Schedule element ( 図 23 赤枠部分 )で例示しよう図 23 ランダムに細工した無線 LAN フレーム 29 IEEE Std 802.11-2012 http://standards.ieee.org/findstds/standard/802.11-2012.html 38

まず Tag Number 129 の IE をみてみよう図 24 は図 23 の Tag Number 129 の IE を拡大した様子を示している図 24 からこの IE のデータ長が 200 で値が 46be2 であることを読み取れる無線 LAN の規格 IEEE Std 802.11 ではこの IE を Reserved ( 予約 )と規定している 30 したがって Tag Number 129 の IE の取り扱いが規格で明確に決まっていないため製品によってはこの IE を解釈するときに問題が起きる可能性がある図 24 Tag Number 129 の IE のデータ長と値続いて Tag Number 15 の Schedule element をみてみよう図 25 は図 23 の Tag Number 15 の Schedule element を拡大した様子を示している図 25 から Tag Length 198 wrong, must be = 14 という文字列を読み取れる無線 LAN の規格 IEEE Std 802.11 ではこの Schedule element のデータ長を 14 バイト 31 と規定している 32 しかしこのテストデータにはデータ長に 14 バイトよりも大きい 198 バイトが設定されているしたがってテストデータの Schedule element には実際のデータの長さと異なるデータ長が設定されているため製品によってはこれを解釈するときに問題が起きる可能性がある図 25 Schedule element のデータ長と値 30 p.474 8.4.2.1 General, "IEEE Std 802.11-2012" 31 IEEE Std 802.11-2012 では厳密には Length として Tag Number の 1 バイト Length の 1 バイトの計 2 バイトを除いた 12 バイトを定義している 32 p.579 8.4.2.36 Schedule element, "IEEE Std 802.11-2012" 39

5. テストデータに関する知識の活用 3 章 4 章でファジングのテストデータにおける考え方およびテストデータの実例を紹介してきたこれによってファジングツールがどのようなテストデータを作るのか理解いただけたと思うファジングツールは対象製品が受け取るデータを様々な方法で細工してテストデータを作るしかしあらゆるテストデータでファジングを実施すると膨大な時間がかかってしまうそこで様々な考え方でファジングツールが開発されている 33 例えば時間が掛かったとしても可能な限り多くのテストデータでファジングを実施するツールがあれば時間短縮を意識してデータ構造の一部分のみ細工したテストデータでファジングを実施するツールもあるファジングツールのテストデータを把握するとテストデータの網羅性を高めて効果的なファジングを実践できるさらに本書で学んだ知識をファジングツールの独自開発に役立てることもできる 5.1. 一歩進んだ知識の活用 :ファジングツールの独自開発製品のなかには既存のファジングツールでその製品に合わせたテストデータを送れずに既存のツールでファジングを実施できないものがあるこのような製品に対してファジングを実施する場合製品開発企業および研究者が製品に合わせたファジングツールを独自に開発する方法があるこれまではファジングにおけるテストデータを体系的にまとめている資料は少なかったため製品に合わせたテストデータを検討することが難しかったと考える実際にファジングを実践している製品企業から自社製品向けのファジングツールを開発したいが自社の技術者ではファジングツールの開発が難しいという課題を伺ったそこで本書で紹介したテストデータの考え方 (データ構造のどの部分をどのように細工するか)を製品に合わせたテストデータの検討に活用いただけるだろう IPA でも活動で培ったテストデータの知識をふまえて JPEG テスト支援ツール ifuzzmaker を開発した本書がファジングツールの独自開発の一助となることを期待している 33 商用製品 FFR Raven Codenomicon Defensics オープンソースソフトウェアの Taof の 3 つのファジングツールの特徴を以下のレポートで考察している IPA: 製品の品質を確保するセキュリティテストに関するレポート 4.5 [2nd ステップ] 商用製品を活用したファジング https://www.ipa.go.jp/about/technicalwatch/20120920.html 40

5.1.1. 活用事例 :JPEG テスト支援ツール ifuzzmaker ifuzzmaker とは JPEG 画像を読み込む機能を持つ製品に対するファジングを支援するツールであるこの ifuzzmaker ではそれらの製品に対するファジングで使うテストデータを作ることができる図 26 に ifuzzmaker で作ったテストデータを使ったファジングのイメージを図示した幅広く製品開発者に活用されるよう IPA では利用マニュアルとともに ifuzzmaker をオープンソースソフトウェアとして公開している図 26 ifuzzmaker で作ったテストデータを使ったファジング(イメージ図 ) ifuzzmaker の概要 https://www.ipa.go.jp/security/vuln/ifuzzmaker/index.html 対象利用者 JPEG 画像を扱う情報家電やソフトウェア製品の関係者 ( 開発者や品質保証担当者などを想定 ) 動作環境 OS :Windows 7 SP1 Windows 8.1 Windows 10 上記 OSは 32bit 版と 64bit 版で動作確認済み CPU :1GHz 以上の x86 互換プロセッサメモリ:1GB 以上の空きメモリ HDD :1GB 以上の空き領域機能 JPEG 画像を読み込む機能に対するファジングで使うテスト JPEG 画像を作ること利用者が指定した Exif 形式の JPEG 画像を作ること 41

6. おわりに 2011 年 8 月からファジングなどの脆弱性検出技術の普及推進を目的とした脆弱性検出の普及活動を IPA が始めてから 2 年以上が経過した活動当初よりもファジングを知っている技術者もふえ少しずつ日本でも製品開発にファジングの導入を検討する企業が出てきたしかし本書で取り上げたファジングにおけるテストデータの理解など企業が製品開発の現場でファジングを活用するときの課題はいくつもある今後も IPA ではファジングの利用が広がるための活動を継続していきたい本書が製品開発におけるファジングの活用ひいては製品開発における脆弱性低減の一助となれば幸いである 7. 本書に関連する仕様 / 規格仕様名 / 規格名 Exif (Exchangeable image file format) HTTP (Hypertext Transfer Protocol) IEEE802.11 IP (Internet Protocol) TCP (Transmission Control Protocol) UPnP (Universal Plug and Play) URL デジタルスチルカメラ用画像ファイルフォーマット規格 Exif 2.3: http://www.cipa.jp/std/documents/j/dc-008-2012_j.pdf (2016 年 2 月確認 ) RFC2616: http://tools.ietf.org/html/rfc2616 (2016 年 2 月確認 ) IEEE802.11-2012: http://standards.ieee.org/findstds/standard/802.11-2012.html (2016 年 2 月確認 ) RFC791: http://tools.ietf.org/html/rfc791 (2016 年 2 月確認 ) RFC793: http://tools.ietf.org/html/rfc793 (2016 年 2 月確認 ) UPnP Device Architecture 1.1: http://upnp.org/specs/arch/upnp-arch-devicearchitecture-v1.1.pdf (2016 年 2 月確認 ) 42

付録 : 検出できるテストデータが分かる脆弱性情報 IPA では US-CERT 34 と Exploit Database 35 の 2 つのウェブサイトを中心に 2011 年 1 月から 2013 年 6 月の期間に公開された脆弱性情報の中から脆弱性の説明や実証コードからその脆弱性を検出できるテストデータが分かるものを調査した下表はその調査結果を示している本付録をご活用いただく場合対象とした期間に公表された脆弱性情報をすべて調査したわけではないことに注意していただきたい No 製品名製品種別脆弱性を検出できるテストデータ(URLの情報をもとに作成 ) URL 脆弱性が存在した機能脆弱性が存在した箇所 1 WL2600CAM /aaa (3000 個 a) POE2600HDなど IPカメラ http://www.exploit-db.com/exploits/26174/ ウェブサービス機能 HTTPリクエストラインのURI 2 ストリーミング機能 aircamシリーズ IPカメラ rtsp://<ipアドレス>/aaa (271 個のA)0x78 0x56 0x34 0x12/live/ch00_0 http://www.coresecurity.com/advisories/buffer-overflow-ubiquiti-aircam-rtsp-service (RTSP 機能 ) DESCRIBEリクエストにおけるURI 3 独自サービスデータ全体 Xpient POS system POSシステム 1 1 http://www.coresecurity.com/advisories/xpient-cash-drawer-operation-vulnerability (7510/tcp) (データを受け付けることを想定しないようである) 4 AR1220 ルータ文字列 4096 個の A http://blog.emaze.net/2013/05/multiple-buffer-overflows-on-huawei.html SNMP 機能 SNMPv3 USMの AuthoritativeEngineID および UserName 5 MayGion IP cameras IPカメラ /AAA (3000 個 A).html http://www.coresecurity.com/advisories/maygion-ip-cameras-multiple-vulnerabilities ウェブサービス機能 HTTPリクエストラインのURI 6 PT7135 IPカメラ文字列 1000 個の a 文字列 10000 個の a http://www.coresecurity.com/advisories/vivotek-ip-cameras-multiple-vulnerabilities ストリーミング機能 (RTSP 機能 ) DESCRIBEリクエストにおける Authorizationヘッダ 7 D6000 スマートテレビ \n\n\n\t\t\t\thacked!\n\n\n\n\n 文字列 1040 個の a http://www.exploit-db.com/exploits/18751/ スマフォアプリとの連携機能 (55000/tcp) 連携するためのプロトコルにおける name 値およびMACアドレス値 8 MegaDome AV1355DN IPカメラどんなデータでも構わない (NmapやNessusのテストデータでもOK) http://www.kb.cert.org/vuls/id/375180 DHCPサーバ機能 (69/udp) データ全体 (データを受け付けることを想定しないようである) 9 TL-WR740N ルータ /... (ドット. を3つ付与したもの) http://www.zeroscience.mk/en/vulnerabilities/zsl-2013-5135.php ウェブサービス機能 HTTP リクエストラインのURI 10 Broadcom UPnP Stack UPnPライブラリ書式文字列 http://www.defensecode.com/public/defensecode_broadcom_security_advisory.pdf UPnP 機能 11 Intel/Portable SDK for UPnP DeviceUPnPライブラリ uuid:schemas:device:aaa...aaa:anything ( 値の一部分に極端に長い文字列を含む) https://community.rapid7.com/docs/doc-2150 UPnP 機能 12 改行コード(CR+LF)を除外した値 UPnP 機能 MiniUPnP UPnPライブラリ過度に長いクォートされたメソッド https://community.rapid7.com/docs/doc-2150 13 # (シャープ記号 ) を欠いた SOAPAction ヘッダ UPnP 機能 " ( 二重引用符 ) を欠いた SOAPAction ヘッダ UPnP Controlにおける SetConnectionType アクションのNewConnectionType 要素 SSDPにおけるM-SEARCHリクエストにおける STヘッダ SSDPにおけるM-SEARCHリクエストにおける STヘッダ UPnP ControlにおけるSOAPActionヘッダ 14 複数のプリンタプリンタ PCLで規定されていない文字 ( 制御文字など) https://viaforensics.com/security/exploiting-printers-via-jetdirect-vulns.html JetDirect 機能 PCL (Printer Control Language)で書かれたデータ 15 E585u-82 モバイルルータ Authorization: Basic\r\n\r\n http://www.kb.cert.org/vuls/id/871148 ウェブサービス機能 HTTP Authorizationヘッダ 16 BCM4325 IEEE802.11のBeaconフレームにおける無線 LANチップセット 65535 (0xff 0xff) http://www.coresecurity.com/content/broadcom-input-validation-bcm4325-bcm4329 無線 LAN 機能 BCM4329 RSN Information Element(IE) のAuthentication suites count 17 KDL-32CX525 スマートテレビ一定数のTCP-SYNセグメント http://www.exploit-db.com/exploits/18705/ TCP/IP 処理機能 TCPセグメント 18 Cisco TelePresence Series ビデオ会議システム 4x8 a"s http://www.exploit-db.com/exploits/17871/ SIP 処理機能 SIP INVITEリクエストのMACアドレス 19 SoundPoint IP 335 IP 電話 Authorization: Basic\r\n\r\n http://www.exploit-db.com/exploits/16068/ ウェブサービス機能 HTTP Authorizationヘッダ 20 CMNC-200 Full HD IPカメラ文字列 512 個の A https://www.trustwave.com/spiderlabs/advisories/twsl2010-006.txt ウェブサービス機能 HTTP Cookieヘッダ以上 34 http://www.kb.cert.org/vuls/ 35 https://www.exploit-db.com/ 1

更新履歴更新日更新内容 2013 年 11 月 7 日第 1 版発行 2016 年 3 月 31 日第 1 版第 2 刷発行 p.41 ifuzzmaker の概要更新 p.42 本書に関する仕様 / 規格更新脚注内 URL 修正

編集責任金野千里執筆者勝海直人協力者鵜飼裕二園田道夫澤田迅 ( 株式会社 IT 働楽研究所 ) 栗栖正典板橋博之岡崎圭輔山下勇太相馬基邦ファジング実践資料 (テストデータ編 ) ~ 効果的なファジングツールの選定につながるテストデータの理解 ~ [ 発行 ] 2013 年 11 月 7 日第 1 版 2016 年 3 月 31 日第 1 版第 2 刷 [ 著作制作 ] 独立行政法人情報処理推進機構技術本部セキュリティセンター情報セキュリティ技術ラボラトリー