基本情報技術者試験 ap-2018h30h-a 午前 問42: ファジングに該当するものはどれか。

問題本文

ファジングに該当するものはどれか。

選択肢

• ア.サーバに FIN パケットを送信し，サーバからの応答を観測して，稼働しているサービスを見つけ出す。
• イ.サーバの OS やアプリケーションソフトが生成したログやコマンド履歴などを解析して，ファイルサーバに保存されているファイルの改ざんを検知する。
• ウ.ソフトウェアに，問題を引き起こしそうな多様なデータを入力し，挙動を監視して，脆弱性を見つけ出す。
• エ.ネットワーク上を流れるパケットを収集し，そのプロトコルヘッダやデータを解析して，あらかじめ登録された攻撃パターンと一致した場合は不正アクセスと判断する。

正解

ウ. ソフトウェアに，問題を引き起こしそうな多様なデータを入力し，挙動を監視して，脆弱性を見つけ出す。

解説

ファジング（fuzzing）は、検査対象のソフトウェアに対して、極端に長い文字列・想定外の文字・異常値といった“問題を引き起こしそうな多様なデータ（ファズ）”を大量に与え、異常終了や例外動作が起きないかを観察して未知の脆弱性を洗い出す手法である。正常な仕様を満たすかではなく“壊れ方”を探す点が特徴で、その動作をそのまま述べたウが正解。前段の問42のファジングは、開発者が出荷前に脆弱性を見つける用途で用いられる。

選択肢ごとの解説

• ア.FIN パケットを送って応答を観測し稼働サービスを特定するのはポートスキャン（FIN スキャン）であり、攻撃者の偵察手法でファジングではない。
• イ.OS やアプリのログ・コマンド履歴を解析してファイル改ざんを検知するのは、ログ監視や改ざん検知の仕組みであり、ファジングとは無関係。
• ウ.正しい。問題を起こしそうな多様なデータを入力して挙動を監視し脆弱性を見つける、というのがファジングの定義そのものである。
• エ.流れるパケットを収集し登録済みの攻撃パターンと照合して不正アクセスを判断するのは、シグネチャ型 IDS（侵入検知システム）の説明であり、ファジングではない。