3つのポイント

• POINT 01

  IoT機器に潜む「未知の脆弱性」発見に強いファジングテストが容易にできるツール

• POINT 02

  純国産ファジングツールであり、日本語UIおよびマニュアルはもとより、安全保障の観点からも安心してご利用いただけます

• POINT 03

  簡単で使いやすいインターフェース　シンプルな価格プランで、すべてのプロトコルをテスト数制限なしで利用可能

製品・サービス概要

資料サンプル

製品・サービス詳細

IoT機器へのセキュリティ脆弱性診断の必要性

近年、IoT機器の脆弱性報告や攻撃が急増しています。IoT機器は、インターネットが成熟期に入った段階から急速にネット化が進んだ経緯もあり、古典的なセキュリティ脆弱性を持つ機器が数多く存在しています。

開発やテストフェーズなどの早い段階で、バグや脆弱性を修正することでリスクの極小化が可能ですが、未知の脆弱性発見には、高度な知識と技術が必要なため、人材の確保は困難です。

また、現在でも脆弱性発見手法に関するノウハウの体系化は途上段階です。こうした理由からIoT機器にファジングツールを用いたセキュリティ脆弱性診断が非常に有効です。

ファジングテストとは

ソフトウェアのバグや脆弱性を発見するためのテスト手法の一つ。

ファズ(fuzz)と呼ばれる異常パケットを自動生成し、意図的にエラーを発生させます。そのエラーに対する挙動を確認することで脆弱性を発見する方法です。一般的な脆弱性スキャンは、既知の脆弱性に対する対策が取られているかを確認する手法です。

一方、ファジングテストではファズがプログラムによって無作為に入力されるため、想定しづらいケースで生じる未知のエラーを発見することが可能です。

Raven for Fuzzingとは

ファジングテストは、ソフトウェアのバグや脆弱性を検証するテスト手法の一種です。

「ファズ」（Fuzz）と呼ばれるエラーが含まれた様々な異常パケットを自動的生成し、プログラムによって無作為に入力します。 エラーが含まれた様々な命令パターンを実行することでエラー発生の要因を絞り込むという方法です。 一般的な脆弱性スキャンは、既知の脆弱性に対する対策が取られているかを確認する手法ですが、ファジングテストではファズが無作為に入力されることで、想定しづらいケースで生じる未知のエラーを発見することができます。

Raven for Fuzzingの検査方法

Raven for Fuzzingでは、ネットワーク機能を持つ検査対象機器に不具合を誘発しやすい異常なデータを送信し続け、
定期的に正常なデータを送信し、機器が動作しているかモニタリングします。システムがクラッシュしたり、想定しない動作をした場合、機器が脆弱性を持っていると判断します。

この手法により整数オーバーフロー、バッファオーバーフロー、off-by-one、境界値未チェック、異常フラグ、サービス妨害攻撃、リソース異常攻撃など、多数の致命的な脆弱性を発見することが可能です。

Raven for Fuzzingの特徴・機能

Raven for Fuzzingではブロードバンドルーター、ネットワーク機器、情報家電、モバイル機器などの組込み機器に既に大量の未知のセキュリティ脆弱性を発見しています。ファジングの「絞り込み技術」で数百万の検査パターンを数時間で実施可能です。

インタフェースは国産ならではの日本語を基本言語として構築してあり、操作方法としても、IPアドレスを入力して検査項目を選択するだけで簡単に検査を実施する事ができます。マニュアルには送信パケットの詳細や検査アルゴリズムまで記述され、開発現場で有用な情報を多数記載しております。マシンへのインストールも容易で、セキュリティ脆弱性診断についてあまり知識がなくても検査を実施することが可能です。

本製品は、 国内外におけるセキュリティ脆弱性発見手法・脅威分析手法に関する多数の研究発表の実績を持つセキュリティ・エキスパートが開発しました。さらに、研究開発は完全に国内で完結しています。オプションサービスとして、Raven for Fuzzingを利用したテスト自体の代行サービスから、より詳細なセキュリティ脅威分析や対策コンサルティングサービスもご提供致します。

企業情報