| Item type |
Symposium(1) |
| 公開日 |
2023-10-23 |
| タイトル |
|
|
タイトル |
IoTファームウェアに含まれるOSSの脆弱性に関するSCAツールを用いた調査 |
| タイトル |
|
|
言語 |
en |
|
タイトル |
Survey of OSS vulnerabilities in IoT firmware using an SCA tool |
| 言語 |
|
|
言語 |
jpn |
| 資源タイプ |
|
|
資源タイプ識別子 |
http://purl.org/coar/resource_type/c_5794 |
|
資源タイプ |
conference paper |
| 著者所属 |
|
|
|
横浜国立大学環境情報学府 |
| 著者所属 |
|
|
|
横浜国立大学理工学部 |
| 著者所属 |
|
|
|
横浜国立大学先端科学高等研究院 |
| 著者所属 |
|
|
|
NTT社会情報研究所 |
| 著者所属 |
|
|
|
株式会社ユビキタスAI |
| 著者所属 |
|
|
|
横浜国立大学大学院環境情報研究院/先端科学高等研究院 |
| 著者所属 |
|
|
|
横浜国立大学大学院環境情報研究院/先端科学高等研究院 |
| 著者所属(英) |
|
|
|
en |
|
|
Graduate School of Environment and Information Sciences, Yokohama National University |
| 著者所属(英) |
|
|
|
en |
|
|
College of Engineering Science, Yokohama National University |
| 著者所属(英) |
|
|
|
en |
|
|
Institute of Advanced Sciences, Yokohama National University |
| 著者所属(英) |
|
|
|
en |
|
|
NTT Social Informatics Laboratories |
| 著者所属(英) |
|
|
|
en |
|
|
Ubiquitous AI Corporation |
| 著者所属(英) |
|
|
|
en |
|
|
Faculty of Environment and Information Sciences, Yokohama National University / Institute of Advanced Sciences, Yokohama National University |
| 著者所属(英) |
|
|
|
en |
|
|
Faculty of Environment and Information Sciences, Yokohama National University / Institute of Advanced Sciences, Yokohama National University |
| 著者名 |
森井, 裕大
木原, 百々香
佐々木, 貴之
秋山, 満昭
植田, 宏
吉岡, 克成
松本, 勉
|
| 著者名(英) |
Yudai, Morii
Momoka, Kihara
Takayuki, Sasaki
Mitsuaki, Akiyama
Hiroshi, Ueda
Katsunari, Yoshioka
Tsutomu, Matsumoto
|
| 論文抄録 |
|
|
内容記述タイプ |
Other |
|
内容記述 |
脆弱性管理手法の一つとして,SBOMの利用が検討されており,その生成ツールとして,SCAツールが注目されている.しかし,IoT機器のファームウェアにSCAツールを適用し,その結果を分析した研究は少ない.本研究では,まず,商用SCAツールのソフトウェア構成要素判定能力の評価を行った.結果,当該ツールは83.5%の精度でOSSコンポーネント名を,65.2%の精度でコンポーネント名とバージョンの両方を特定できることがわかった.次に,当該ツールを用いてコンシューマ向けIoT機器のファームウェア239個を解析したところ,1ファームウェアあたり平均39種類のOSSコンポーネントと712種類の脆弱性が検出された.また,公知の脆弱性を含んだファームウェアを定常的にリリースするメーカや,公知の脆弱性をほとんど排除してリリースするメーカが確認された.さらに,ファームウェア更新の際には,多くのIoT機器で使用されるOSSコンポーネントの脆弱性増加がファームウェアに脆弱性をもたらしていることが確認された. |
| 論文抄録(英) |
|
|
内容記述タイプ |
Other |
|
内容記述 |
The use of Software Bill of Materials (SBOM) has been considered as one of the vulnerability management methods, and Software Composition Analysis (SCA) tools have attracted attention as tools for generating SBOM. However, few studies have applied SCA tools to firmware of IoT devices and analyzed the results. In this study, first, we evaluated the ability of commercial SCA tools to identify software components. The result showed that the tool can identify OSS component names with an accuracy of 83.5%, and both component names and versions with an accuracy of 65.2%. Next, we analyzed 239 consumer IoT devices’ firmware using the tool, and found an average of 39 OSS components and 712 vulnerabilities per firmware. We also found that there were significant differences in security measures, with three manufacturers having more than half of the detected vulnerabilities that were released more than 1,000 days before the firmware release date, and one manufacturer eliminating most of the publicly known vulnerabilities at the time of firmware release. In addition, it was found that the increasing number of vulnerabilities in OSS components such as busybox and openssl, which are used in many IoT devices, have introduced vulnerabilities into the
firmware when firmware is updated. |
| 書誌情報 |
コンピュータセキュリティシンポジウム2023論文集
p. 644-651,
発行日 2023-10-23
|
| 出版者 |
|
|
言語 |
ja |
|
出版者 |
情報処理学会 |
IPSJ-CSS2023088.pdf (536.7 kB)
