応用情報技術者試験 応用情報技術者試験 令和元年度秋期 午前 問44: ファジングに該当するものはどれか。

問題本文

ファジングに該当するものはどれか。

選択肢

• ア.サーバにFINパケットを送信し，サーバからの応答を観測して，稼働しているサービスを見つけ出す。
• イ.サーバのOSやアプリケーションソフトウェアが生成したログやコマンド履歴などを解析して，ファイルサーバに保存されているファイルの改ざんを検知する。
• ウ.ソフトウェアに，問題を引き起こしそうな多様なデータを入力し，挙動を監視して，脆弱性を見つけ出す。
• エ.ネットワーク上を流れるパケットを収集し，そのプロトコルヘッダやペイロードを解析して，あらかじめ登録された攻撃パターンと一致した場合は不正アクセスと判断する。

正解

ウ. ソフトウェアに，問題を引き起こしそうな多様なデータを入力し，挙動を監視して，脆弱性を見つけ出す。

解説

ファジング（fuzzing）とは，極端に長い文字列や想定外の値など“問題を引き起こしそうな多様なデータ（ファズ）”をソフトウェアに大量に入力し，異常終了や予期しない挙動が起きないかを監視して脆弱性を発見する検査手法である。したがって，問題を引き起こしそうな多様なデータを入力し挙動を監視すると述べたウが正解である。

選択肢ごとの解説

• ア.FINパケットへの応答から稼働サービスを調べるのはポートスキャン（FINスキャン）の説明であり，ファジングではない。
• イ.ログやコマンド履歴を解析して改ざんを検知するのはファイル改ざん検知（ホスト監視）の説明であり，入力を与えて脆弱性を探すファジングとは異なる。
• ウ.正しい。多様な異常データを入力して挙動を観測し脆弱性を見つけ出すのがファジングである。
• エ.パケットを収集し登録済みの攻撃パターンと照合して不正と判断するのはシグネチャ型IDSの説明であり，ファジングではない。