IoT機器向けファジングツール
Raven for Fuzzing

-- particles
ネットワーク機能を持つ組込み機器を検査し未知のセキュリティ脆弱性を発見
FFRI Raven は 新機能を搭載し、Raven for Fuzzingへ商品名称が変わりました

ネットワーク機器へのセキュリティ脆弱性診断の必要性

近年、ネットワーク組込み機器の脆弱性報告や攻撃が急増しています。
組込み機器は、インターネットが成熟期に入った段階で急速にネット化が進んだ経緯もあり、古典的なセキュリティ脆弱性を持つ機器が数多く存在します。 開発工程で脆弱性が発見されるケースも多くありますが、未知のセキュリティ脆弱性発見には、高度な知識と熟練した技術が必要であるため、人材の確保は困難です。 現在においてもセキュリティ脆弱性発見手法に関するノウハウの体系化は途上段階です。こうした理由からネットワーク機能を持つ組込み機器にファジングツールを用いたセキュリティ脆弱性診断は必要となります。
参考:独立行政法人 情報処理推進機構 セキュリティセンター 「IPA ファジング活用の手引き」

ファジングテストとは

ファジングテストは、ソフトウェアのバグや脆弱性を検証するテスト手法の一種です。
「ファズ」(Fuzz)と呼ばれるエラーが含まれた様々な異常パケットを自動的生成し、プログラムによって無作為に入力します。 エラーが含まれた様々な命令パターンを実行することでエラー発生の要因を絞り込むという方法です。 一般的な脆弱性スキャンは、既知の脆弱性に対する対策が取られているかを確認する手法ですが、ファジングテストではファズが無作為に入力されることで、想定しづらいケースで生じる未知のエラーを発見することができます。

Raven for Fuzzingとは

Raven for Fuzzingは、未知のセキュリティ脆弱性を発見します。
対象機器に脆弱性を誘発する可能性がある異常なパケットを送信し、その動作をモニタリングする「Fuzzing Test」を採用。 無限に存在する異常系のテストパターンから最適な検査を自動で行うため、非常に効率的な未知の脆弱性発見を実現します。 未知の脆弱性発見に長けているRavenでは、開発段階のテストにおいても製品のバグや脆弱性をできるだけ早期発見することで、大幅にコストを圧縮することが可能です。 また、製品出荷後にバグや脆弱性が発見され、製品回収や周知にかかる莫大なコストが発生するリスクを極小化します。
※認証基準(IEC62443 4-2 /EUサイバーレジリエンス法)に対して規格及び規制要件を満たす為に活用頂けます。 

Raven for Fuzzingの検査方法

Raven for Fuzzingでは、ネットワーク機能を持つ検査対象機器(家庭用ブロードバンドルータや、テレビ、スマートフォンなど)に様々な種類の異常データを送信する検査ツールです。システムがクラッシュしたり、想定しない動作をした場合、機器が脆弱性を持っていると判断します。 この手法により整数オーバーフロー、バッファオーバーフロー、off-by-one、境界値未チェック、異常フラグ、サービス妨害攻撃、リソース異常消費など、多数の致命的な脆弱性を発見することが可能です。


Raven for Fuzzingの検査方法

Raven for Fuzzingの特徴・機能

1.広範囲のプロトコル検査を標準サポート

Raven for Fuzzingでは、ブロードバンドルーター、ネットワーク機器、情報家電、モバイル機器などの組込み機器に既に大量の未知のセキュリティ脆弱性を発見しています。 なお、数百万の検査パターンを数時間で実施可能です。

Raven for Fuzzing検査項目一覧

2.日本語UIによる簡単操作で高性能FuzzingTestを実現

インタフェースは国産ならではの日本語であり、直感的な操作が可能です。
検査方法もIPアドレスを入力して検査項目を選択するだけで簡単に実施する事ができます。 また、マニュアルには送信パケットの詳細や検査アルゴリズムまで記述され、開発の現場で有用な情報を多数記載しております。 マシンへのインストールも容易で、セキュリティ脆弱性診断に関して、知識がない方でも検査を簡単に行うことが可能です。


洗練された日本語UI

3.世界クラスのセキュリティ脆弱性発見・対策技術研究実績を背景とした完全国内産ツール

Raven for Fuzzingは、国内外におけるセキュリティ脆弱性発見手法・脅威分析手法に関する多数の研究発表の実績を持つセキュリティ・エキスパートが開発しました。
さらに、研究開発は完全に国内で完結。オプションにてより詳細なセキュリティ脅威分析や対策コンサルティングサービスもご提供致します。

4.ポートスキャン機能を搭載

従来のプロトコル検査に加えポートスキャン機能が追加されました。
GUIで直感的に操作ができ、どなたでも簡単に指定した範囲でのポートスキャンを行うことが可能です。


洗練された日本語UI

Raven for Fuzzingのシステム要件

環境 以下のOSの動作環境に準ずる
Windows10、Windows11
備考
  • 実行には管理者権限が必要です。
  • 事前に以下のインストールが必要となります。
     ・VisualStudio2019ランタイムモジュールの再配布
     ・WinPcap(4.1.3)
  • インストール時にはインターネット接続が必要となります。
     アプリ実行時はインターネット接続は必要ありません。
  • ローカルホストに対する検査はできません。
  • アプリケーションのインストール環境によりファジング用パケットを生成することができない場合、
     正常に動作しない可能性があります。
  • VPNクライアントや仮想ネットワーク・デバイス等がインストールされている環境や機器に直接接続して
     検査を実施できない環境では、正常に動作しない可能性があります。
  • 上記条件を満たせばノートPCなどの低リソース機器でも動作可能となります。

IoT機器向けその他サービス・製品

富士ソフトのIoT脆弱性診断サービスでは、お客様が開発、仕入れ販売、または使用される製品や機器に対して、当社のホワイトハッカーがあらゆる可能性からハッカーの目線でセキュリティ上の大きな脅威となり得るバックドアを発見することや、セキュリティの脆弱性がないか検証致します。

IoT脆弱性診断サービスはこちら

IoT脆弱性診断サービス

ご質問は、以下よりお気軽にお問合せください。

Raven for Fuzzingに関するお問い合わせ

お問い合わせはこちら
050-3000-2767(平日9:00~17:00まで)