富士ソフト、ポートスキャン機能を追加したファジングテストツール「Raven for Fuzzing」

　富士ソフト株式会社は、ファジングテストツール「FFRI Raven」をリニューアルし、新たに「Raven for Fuzzing」として3月1日より提供開始すると発表した。サイバー攻撃からIoT機器を守るセキュリティ機能を向上させているという。

　ファジングテストとは、ソフトウェアのバグや脆弱性を検証するためのテスト方式のひとつで、「ファズ」（Fuzz）と呼ばれる、通常は想定していないような異常パケットを検査対象のシステムに送り込み、異常な動作が起きるかどうかを検査する手法だ。一般的な脆弱性スキャンでは、既知の脆弱性に対する対策が採られているかどうかを確認するが、これに対してファジングテストでは、想定しづらいケースで生じる未知のエラーを発見することができる。

　富士ソフトでは、こうしたファジングテストを実現するツールとして、「FFRI Raven」をIoT機器向けに提供していたが、従来のプロトコル検査に加えて、今回はポートスキャン機能追加などの機能強化を実施し、新サービスのRaven for Fuzzingとして提供を開始する。

　同サービスでは、家庭用ブロードバンドルータやテレビ、スマートフォンなど、ネットワーク機能を持つ検査対象機器にさまざまな種類の異常データを送信するが、無限に存在する異常系のテストパターンから最適な検査を自動で行うため、効率的な未知の脆弱性発見を実現可能。あわせて、正常なデータを定期的に送信し、機器が生きているかについても確認を実施しており、システムがクラッシュしたり、想定しない動作をしたりした場合は、機器が脆弱性を持っていると判断するという。

　富士ソフトでは、こうした手法により、整数オーバーフロー、バッファオーバーフロー、off-by-one、境界値未チェック、異常フラグ、サービス妨害攻撃、リソース異常消費など、多数の致命的な脆弱性を発見できると説明。開発段階のテストで製品のバグや脆弱性をできるだけ早期に発見することによって、コストの圧縮が可能になるほか、製品出荷後にバグや脆弱性が発見され、製品回収や周知のコストが発生するリスクを極小化するとのこと。