応用情報技術者試験 応用情報技術者試験 平成30年度秋期 午前 問43: 脆弱性検査手法の一つであるファジングはどれか。

問題本文

脆弱性検査手法の一つであるファジングはどれか。

選択肢

• ア.既知の脆弱性に対するシステムの対応状況に注目し，システムに導入されているソフトウェアのバージョン及びパッチの適用状況の検査を行う。
• イ.ソフトウェアのデータの入出力に注目し，問題を引き起こしそうなデータを大量に多様なパターンで入力して挙動を観察し，脆弱性を見つける。
• ウ.ベンダや情報セキュリティ関連機関が提供するセキュリティアドバイザリなどの最新のセキュリティ情報に注目し，ソフトウェアの脆弱性の検査を行う。
• エ.ホワイトボックス検査の一つであり，ソフトウェアの内部構造に注目し，ソースコードの構文をチェックすることによって脆弱性を見つける。

正解

イ. ソフトウェアのデータの入出力に注目し，問題を引き起こしそうなデータを大量に多様なパターンで入力して挙動を観察し，脆弱性を見つける。

解説

脆弱性検査手法のファジング(fuzzing)を問う問題である。ファジングとは、想定外の値や極端に長い値など「問題を引き起こしそうなデータ(fuzz)」を大量かつ多様なパターンで対象ソフトウェアに入力し、異常終了や予期しない挙動が起きないかを観察することで未知の脆弱性を発見する手法である。データの入出力に注目して挙動を観察するイが該当する。

選択肢ごとの解説

• ア.導入ソフトのバージョンやパッチ適用状況を調べて既知の脆弱性への対応を確認する手法であり、ファジングではない(脆弱性スキャンの一種)。
• イ.正しい。問題を引き起こしそうなデータを大量・多様に入力して挙動を観察し脆弱性を見つける、というのがファジングの定義そのものである。
• ウ.セキュリティアドバイザリなど最新情報を参照して脆弱性を確認する手法であり、データを与えて挙動を観察するファジングとは異なる。
• エ.ソースコードの構文をチェックして脆弱性を探すのはホワイトボックス的な静的解析であり、外部からデータを入力するファジング(ブラックボックス的)とは異なる。