情報処理推進機構(IPA)は2011年7月28日、「ファジング(fuzzing)」と呼ばれる脆弱性検出技術の普及活動を、8月に開始することを発表した。IPAの担当者が、人気ソフトなどを対象にファジングを実施し、知見や実績を蓄積。それを基に「ファジング活用の手引き」をまとめ、2012年第1四半期をめどに公開するという。
ファジングとは、検査対象のソフトウエア製品あるいは機器に対して、開発者が想定しないようなデータを次々と入力し、その応答からソフトや機器の脆弱性を探す技術。想定外のデータとは、非常に長い文字列や大きい値など。
入力データの応答として異常な結果を返したり、動作が異常終了したりした場合には、その処理をした箇所を詳細に調べる。ファジングを実施するためのツール(「ファジングツール」や「ファザー」などと呼ばれる)は多数存在する。
IPAによれば、ファジングは脆弱性検出に有効な技術であり実績があるものの、国内では認知や普及が進んでいないのが実情だという。
そこで今回、IPAではファジングの普及活動を開始する。具体的には、IPAがファジングツールを使って、実在する製品に対して脆弱性検査を実施する(図)。
それにより、ファジングを活用するための知見や実績をIPAで蓄積し、その成果を「ファジング活用の手引き」としてまとめ、2012年第1四半期をめどに公開する。ファジングの有効性を具体的に示すことで、普及につなげる狙いだ。活動中に見つかった脆弱性は製品開発者に報告する。
当初の検査対象製品は、国内で人気のあるソフトウエアや、家庭向けネットワーク対応機器。後者の例としては、ブロードバンドルーターや、ネットワークに対応したゲーム機やテレビを挙げている。将来的には、産業用制御システムやネットワーク対応医療機器なども対象にしたいとしている。