AIBR プレミアム
拓海先生、お忙しいところすみません。最近、部下から「カーネルのファジングをやるべきだ」と言われまして、WinkFuzzという方法が話題らしいんですが、正直何がそんなに重要なのか分かりません。要点を教えていただけますか。
素晴らしい着眼点ですね!簡潔に言うと、WinkFuzzは「既存の実行ログ(trace)からシステムコールの使い方を学び、そのスクリプトを変異させて未踏のカーネル状態を狙う」手法です。閉鎖系のWindowsカーネルのようにソースがない環境で威力を発揮できるんですよ。
ええと、実行ログを見て真似するってことは分かりますが、どうして単に真似するだけでなく変える必要があるのですか。そんなことをすると動かなくなる懸念もあります。
良い視点ですね。要点を3つでまとめます。1) 実行ログは既存の動作パターンしか示さない。2) 変異により未知のシーケンスに到達して、新たなバグ領域を探索できる。3) ただし変異は無差別ではなく、引数依存やハンドルの扱いなど実装上のルールを守ることで成功率を保てます。要は狙いを持った探索です。
なるほど、つまり既存のログを単に繰り返すだけでは見つからない問題にも届く可能性がある、と。これって要するにより効率的に“テストの幅”を広げるということですか。
その通りですよ。いい要約です。付け加えると、WinkFuzzは「トレースから引数の入出力依存関係を推定してスクリプトを合成する」ため、ただ乱暴に変えるのではなく、実行可能性を高く保ちながら新しい経路に到達できます。要は賢い変異です。
技術的にはありがたいですが、当社で投資を決める際に気にするのは、導入コストと効果ですね。現場に入れてすぐに使えるものなんでしょうか。エンジニアの負担はどれくらいですか。
良い質問です。現実論で言うと初期設定やログ収集にはエンジニアの手が必要ですが、WinkFuzzはソースがない環境でもトレースから自動でモデルを作るため、完全ゼロから手作業でルールを書くよりは工数を抑えられます。導入の要点はログ取得の確立と変異方針のチューニングです。
ログをとるのが鍵ですね。あと、安全性の面で問題が起きたときにログだけで原因追跡ができるのか心配です。デバッグは難しくないのですか。
安全性の懸念は正当です。WinkFuzzの論文でもクラッシュや未定義動作が発生した場合、手作業で該当のシステムコールや引数を絞り込み、再現と原因特定を行っています。完璧な自動化は難しいが、手作業を補助する形で効率化できます。大事なのは運用ルールの設計です。
要するに、ログをしっかり取って賢く変異させることで、当社の限られた工数でより広い脆弱性探索ができるということですね。分かりました、まずはログ収集の体制を整える方向で社内に提案してみます。
素晴らしい着眼点ですね!それで大丈夫ですよ。段階的にログ→モデル化→変異→検証の流れを作れば、投資対効果を見ながら運用できます。一緒に運用設計を作りましょう。
