応用情報技術者試験 応用情報技術者試験 令和4年度春期 午前 問45: ファジングに該当するものはどれか。

問題本文

ファジングに該当するものはどれか。

選択肢

• ア.サーバにFINパケットを送信し，サーバからの応答を観測して，稼働しているサービスを見つけ出す。
• イ.サーバのOSやアプリケーションソフトウェアが生成したログやコマンド履歴などを解析して，ファイルサーバに保存されているファイルの改ざんを検知する。
• ウ.ソフトウェアに，問題を引き起こしそうな多様なデータを入力し，挙動を監視して，脆弱性を見つけ出す。
• エ.ネットワーク上を流れるパケットを収集し，そのプロトコルヘッダやペイロードを解析して，あらかじめ登録された攻撃パターンと一致するものを検出する。

正解

ウ. ソフトウェアに，問題を引き起こしそうな多様なデータを入力し，挙動を監視して，脆弱性を見つけ出す。

解説

ファジング(fuzzing)とは，ソフトウェアに対して問題を引き起こしそうな多様で予期しないデータ(ファズ)を大量に入力し，異常終了などの挙動を監視することで未知のぜい弱性やバグを洗い出すテスト手法である。記述ウがこの定義そのものを述べているため正解となる。

選択肢ごとの解説

• ア.FINパケットを送って応答から稼働サービスを調べるのはポートスキャン(FINスキャン)であり，ファジングではない。
• イ.ログやコマンド履歴を解析してファイルの改ざんを検知するのは改ざん検知やログ監査の手法であり，ファジングではない。
• ウ.問題を起こしそうな多様なデータを入力して挙動を監視し，ぜい弱性を見つけ出すのがファジングの定義そのものなので正しい。
• エ.パケットを収集し登録済みの攻撃パターンと照合して検出するのはシグネチャ型のIDS/IPSの動作であり，ファジングではない。