組込機器の未知の脆弱性を検査するツール「FFR Raven」

「FFR Raven」

　フォティーンフォティ技術研究所は、ネットワーク接続機能を持つ組込機器に対し、未知の脆弱性を検査できるパソコン用ソフトウェア「FFR Raven」を8月25日に発売する。価格の例は、3ライセンス、1カ月契約の場合で月額50万円。ライセンス無制限、年間契約では年額500万円。

　今回発売される「FFR Raven」は、ネットワーク接続機能を持つ組込機器を対象に、搭載ソフトウェアやネットワーク機能に存在する未知の脆弱性の発見を支援するソフトウェア。セキュリティ上の脆弱性を誘発する異常なパケットの組み合わせを独自のノウハウにより自動生成するFuzzingと呼ばれる手法を採用しており、対象機器の挙動を監視することで堅牢性（ロバストネス）テストを実施できる。このテストにより、バッファオーバーフロー、整数オーバーフロー、フォーマットストリング、off-by-one、読み込み境界未チェック、異常リソース消費、サービス妨害など、多数の致命的な脆弱性を発見できるとしている。テスト対象は、TCP/IPをはじめ、ICMP、UDP、HTTPなど多数のプロトコルがサポートされており、有償でプロコトルの追加も可能。

　同ソフトウェアはWindows用で、一般的なパソコンにインストールして利用可能。対応OSはWindows XP/Vista/7。検査対象機器のIPアドレスを入力すればテストを実施できるなど、簡単に利用できるようになっている。日本で開発されるソフトウェアで、UIを含めて日本語版となっている。日本語のマニュアルには、同社のノウハウを含めた詳細な解説も含まれる。

　「FFR Raven」の導入企業は主にセキュリティ検証を行うサービスプロバイダーとなるが、端末メーカーなどにも納入できるとしている。なお、同ソフトウェアを導入する企業としてソフトバンクモバイルが既に決定しており、脆弱性への事前防止策として活用される見込み。

■組込機器のセキュリティと現状

　フォティーンフォティ技術研究所は、組込機器のセキュリティ脅威分析を含め、脆弱性発見で実績があり、日常的な脆弱性発見への取り組みと研究結果は積極的に公開されている。同社 代表取締役社長の鵜飼裕司氏は、モバイル端末などインターネットに接続できる機器が急速に拡大しており、非PCを狙った攻撃が多くなっていると指摘する。これらのネットに接続できる組込機器は、「古典的な脆弱性を持つものが多い」とのことで、パソコンであれば10年前にみられたような初歩の脆弱性が多く発見されているという。

　鵜飼氏によれば、組込機器を開発するメーカーは、セキュリティへの認識が不十分であることが多く、対応策や回避策の不足、セキュリティテスト自体も研究途上にあるという。結果的にメーカーにノウハウが蓄積されておらず、「非常に狙いやすい状況になっている」と状況を分析する。

　また、攻撃側であるアンダーグラウンド・コミュニティでは数年前より技術が向上しており、経済活動に転換させる術も確立されている。組込機器に対しても攻撃の研究が進んでおり、最近では、異常なパケットを自動生成で送りつけるFuzzingの手法を用いて攻撃コードを特定・生成するケースが増加している。

　これらの状況から、組込機器では事前に未知の脆弱性を発見するテストが以前にも増して重要になっている。また、1％で脆弱性が残っていれば、そこが狙われてセキュリティを突破されるため、堅牢性のテストではすべての脆弱性を解決することが重要になる。

　一方、Fuzzingですべてのパケットの種類についてテストを実行すると、膨大な時間が必要になってしまうことから、ロバストネス・テストでは「いかに少ないパターンで、脆弱性を発見する確率を落とさないかがFuzzingのポイントになる」（鵜飼氏）。「FFR Raven」では、過去の事例で脆弱性の原因となってきたポイントや、エンジニアのミスの傾向、バグ抽出の際のノウハウなどを集めて異常パケットを自動生成を行う。この結果、同社が標準的とする200万パターンの検査時間は、約2.5時間程度で済むという。

ロバストネス・テストで未知の脆弱性を発見する

　ちなみに同社では、すでに製品化されている組込機器を20種類ほど用意し、「FFR Raven」でFuzzingのテストを実施したという。その結果、9割程度の機器で何かしらの脆弱性が発見されたとのこと。また、その中の一部はIPAに報告された。これらの機器には、電気錠システム、ルーター、スイッチ、モバイル機器、テレビなどが含まれているという。また、パソコン（Windows）のIPv6において、プロトコルスタックの脆弱性発見の実績もあり、こちらはマイクロソフトから既にパッチが提供されている。

　同社では2000年から組込機器のセキュリティを研究してきた実績を特徴としており、ネット接続が増加している現在において、組込機器であっても事前に堅牢性を確保することが重要と指摘する。また、Fuzzingのテストを行うツールは市場に少なく、競合する製品の10分の1程度の価格と、「FFR Raven」が安価に提供できる点も特徴に挙げている。