基本情報技術者試験 ap-2022r04a-a 午前 問45: ファジングに該当するものはどれか。

問題本文

ファジングに該当するものはどれか。

選択肢

• ア.Web サーバに対し，ログイン，閲覧などのリクエストを大量に送り付け，一定時間内の処理量を計測して，DDoS 攻撃に対する耐性を検査する。
• イ.ソフトウェアに対し，問題を起こしそうな様々な種類のデータを入力し，そのソフトウェアの動作状態を監視して脆弱性を発見する。
• ウ.パスワードとしてよく使われる文字列を数多く列挙したリストを使って，不正にログインを試行する。
• エ.マークアップ言語で書かれた文字列を処理する前に，その言語にとって特別な意味をもつ文字や記号を別の文字列に置換して，脆弱性が悪用されるのを防止する。

正解

イ. ソフトウェアに対し，問題を起こしそうな様々な種類のデータを入力し，そのソフトウェアの動作状態を監視して脆弱性を発見する。

解説

脆弱性検査手法である“ファジング”の内容を問う問題。ファジングとは、検査対象のソフトウェアに、極端な値や想定外の形式など問題を起こしそうな多様なデータ（ファズ）を大量に与え、異常終了などの動作を監視することで未知の脆弱性を発見する手法である。この説明に一致するイが正解となる。

選択肢ごとの解説

• ア.大量のリクエストで処理量を計測しDDoS耐性を見るのは負荷試験の説明であり、想定外データで脆弱性を探すファジングとは異なるため誤り。
• イ.問題を起こしそうな様々なデータを入力して動作を監視し脆弱性を見つける、というファジングの定義そのものなので正しい。
• ウ.よく使われるパスワード文字列のリストでログインを試すのは辞書攻撃（パスワードリスト攻撃）であり、ファジングではないため誤り。
• エ.特別な意味をもつ文字を別文字列へ置換するのはエスケープ処理（サニタイジング）であり、攻撃や検査ではなく防御策なので誤り。