応用情報技術者 2022年 秋期 午前2 問45
問題文
ファジングに該当するものはどれか。
選択肢
ア:Webサーバに対し、 ログイン、 閲覧などのリクエストを大量に送り付け、一定時間内の処理量を計測して、 DDoS 攻撃に対する耐性を検査する。
イ:ソフトウェアに対し、 問題を起こしそうな様々な種類のデータを入力し、そのソフトウェアの動作状態を監視して脆弱性を発見する。(正解)
ウ:パスワードとしてよく使われる文字列を数多く列挙したリストを使って、不正にログインを試行する。
エ:マークアップ言語で書かれた文字列を処理する前に、その言語にとって特別な意味をもつ文字や記号を別の文字列に置換して、 脆弱性が悪用されるのを防止する。
ファジングに該当するものはどれか【午前2 解説】
要点まとめ
- 結論:ファジングとは、ソフトウェアに多種多様な異常データを入力し脆弱性を検出する手法です。
- 根拠:異常データを用いて動作監視し、予期せぬ挙動やクラッシュを引き起こすことで問題点を見つけます。
- 差がつくポイント:DDoS耐性検査やパスワードリスト攻撃、文字列置換とは異なり、ファジングは「異常入力による脆弱性発見」が本質です。
正解の理由
選択肢イは「問題を起こしそうな様々な種類のデータを入力し、そのソフトウェアの動作状態を監視して脆弱性を発見する」とあり、ファジングの定義に完全に合致します。ファジングはソフトウェアの堅牢性を評価するために異常な入力を大量に試し、クラッシュや異常動作を検出する技術です。
よくある誤解
ファジングは単なる負荷テストやパスワードクラッキングではありません。異常データを使った脆弱性検出に特化した手法である点を混同しやすいです。
解法ステップ
- 問題文の「ファジング」の意味を正確に理解する。
- 各選択肢の内容を「異常データを使った脆弱性検出かどうか」で判別する。
- DDoS耐性検査やパスワードリスト攻撃はファジングではないと判断する。
- 文字列置換は脆弱性対策の一種であり、ファジングとは異なる。
- 以上より、選択肢イが正解と確定する。
選択肢別の誤答解説
- ア:DDoS耐性検査は負荷テストの一種であり、異常データ入力による脆弱性検出ではありません。
- イ:ファジングの定義に合致し、正解です。
- ウ:パスワードリストを使った不正ログイン試行はブルートフォース攻撃であり、ファジングとは異なります。
- エ:文字列の置換は脆弱性対策(サニタイズ)であり、ファジングの手法ではありません。
補足コラム
ファジングはセキュリティテストの重要な手法で、特にバッファオーバーフローやメモリ破壊などの脆弱性発見に有効です。自動化ツールも多く存在し、ソフトウェア開発の品質向上に役立っています。
FAQ
Q: ファジングとペネトレーションテストの違いは?
A: ファジングは異常データを大量に入力して脆弱性を探す自動化手法、ペネトレーションテストは手動で多角的に攻撃を試みる総合的な評価です。
A: ファジングは異常データを大量に入力して脆弱性を探す自動化手法、ペネトレーションテストは手動で多角的に攻撃を試みる総合的な評価です。
Q: ファジングはどの段階で行うべきですか?
A: 開発初期から実装段階にかけて行うことで、早期に脆弱性を発見し修正できます。
A: 開発初期から実装段階にかけて行うことで、早期に脆弱性を発見し修正できます。
関連キーワード: ファジング、脆弱性検出、セキュリティテスト、異常入力、バッファオーバーフロー
\ せっかくなら /
応用情報技術者を
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!