ファジング(fuzzing)とは

ファジング(fuzzing)とは、ソフトウェアなどの脆弱性を検証するためのテスト手法の一つ。ファズテスト(fuzz testing)などとも呼ばれる。

検査対象のソフトウェア製品あるいは機器に対して、「ファズ」(fuzz)と呼ばれるエラー入りの命令を次々と入力し、その応答から脆弱性を検証する。ファズは自動的に生成され、プログラムによって無作為に入力される。開発者が想定しないような非常に長い文字列や大きい値などが無作為に入力されることで、人為的な事前予測では思いも寄らないケースで生じるエラーが発見できる。

入力データに対して異常な結果を返したり、動作が異常終了したりした場合には、その処理をした箇所を詳細に調べる。いわば「総当たり攻撃」のように"力ずく"で脆弱性を検証するテスト手法といえる。ファジングを実施するためのツール(「ファジングツール」や「ファザー」などと呼ばれる)は多数存在する。

独立行政法人 情報処理推進機構(IPA)は、ファジングによる「脆弱性検出技術の普及活動」を、8月に開始することを発表した。具体的には、IPAがファジングツールを使って、実在する製品に対して脆弱性検査を実施する。これにより蓄積された知見や実績を、2012年第1四半期を目途に「ファジング活用の手引き」として公開する予定という。

ソフトウェア製品における脆弱性の減少を目指す「脆弱性検出の普及活動」を開始(IPA)
「ファジング」で人気ソフトの脆弱性を検査、効果を示して普及を狙う(ITpro)
ファジング とは(ITpro)

セキュリティ用語辞典一覧ページへ

  • 「Firefox 6」「Thunderbird 6」がリリース
  • カテゴリートップへ
  • マイクロソフト セキュリティ インテリジェンス レポートとは