| Item type |
SIG Technical Reports(1) |
| 公開日 |
2024-07-15 |
| タイトル |
|
|
タイトル |
ルータのファームウェアに含まれるOSS脆弱性に関するSCAツールを用いた調査 |
| タイトル |
|
|
言語 |
en |
|
タイトル |
Survey of OSS vulnerabilities in router firmware using an SCA tool |
| 言語 |
|
|
言語 |
jpn |
| キーワード |
|
|
主題Scheme |
Other |
|
主題 |
ICSS |
| 資源タイプ |
|
|
資源タイプ識別子 |
http://purl.org/coar/resource_type/c_18gh |
|
資源タイプ |
technical report |
| 著者所属 |
|
|
|
横浜国立大学大学院環境情報学府 |
| 著者所属 |
|
|
|
横浜国立大学先端科学高等研究院 |
| 著者所属 |
|
|
|
横浜国立大学大学院環境情報研究院/先端科学高等研究院 |
| 著者所属(英) |
|
|
|
en |
|
|
Graduate School of Environment and Information Sciences |
| 著者所属(英) |
|
|
|
en |
|
|
AffiliationInstitute of Advanced Sciences, Yokohama National University |
| 著者所属(英) |
|
|
|
en |
|
|
Graduate School of Environment and Information Sciences, Yokohama National University / Institute of Advanced Sciences, Yokohama National University |
| 著者名 |
木原, 百々香
佐々木, 貴之
吉岡, 克成
|
| 著者名(英) |
Momoka, Kihara
Takayuki, Sasaki
Katsunari, Yoshioka
|
| 論文抄録 |
|
|
内容記述タイプ |
Other |
|
内容記述 |
近年,IoT 機器の脆弱性を狙ったサイバー攻撃がまん延しており,これらの脆弱性への対応が重要となっている.特に,コスト削減の観点から IoT 機器の開発において Open Source Software(OSS)の利用が一般的となっており,その脆弱性の迅速な把握や対応は,ソフトウェアサプライチェーンセキュリティの大きな課題となっている.本研究では,IoT メーカが OSS 脆弱性対応をどのように行っているかを明らかにするために,サイバー攻撃の対象となることが多いルータ製品に着目し,そのファームウェアに含まれる OSS 脆弱性について Software Compotision Analysis(SCA)ツールを使用して分析を行った.その結果,ファームウェアが含む様々なコンポーネントを全体的に更新しているメーカや,深刻度の高い脆弱性を優先して修正しているメーカがみられた.また,SCA ツールにより検知された深刻度の高い脆弱性である KRACKs に着目したところ,メーカの製品ページにおいて対応が完了していると発表されているにもかかわらず,SCA ツールにおいては脆弱性を有すると判定される事例が発見された.この結果は,メーカが独自のセキュリティパッチを適用しており,それが SCA ツールに正しく認識されていない可能性を示唆する. |
| 論文抄録(英) |
|
|
内容記述タイプ |
Other |
|
内容記述 |
In recent years, cyber attacks targeting vulnerabilities in IoT devices have become widespread, and responses to these vulnerabilities have become critical. In particular, the use of Open Source Software (OSS) has become common in the development of IoT devices from the viewpoint of cost reduction, and the rapid identification and response to such vulnerabilities has become a major issue in software supply chain security. In this study, we focused on router products, which are often the target of cyber attacks, and analyzed OSS vulnerabilities in their firmware using a Software Composition Analysis (SCA) tool. As a result, there are some vendors that update most of OSS components in firmware and others preferentially updating components with serious vulnerabilities. In addition, focusing on KRACKs, which are high severity vulnerabilities, we found cases where the SCA tool determined that the product was vulnerable even though the manufacturer announced on the product page that the vulnerability had been addressed. This result suggests the possibility that router vendors apply their own security patches, which are not correctly recognized by the SCA tools. |
| 書誌レコードID |
|
|
収録物識別子タイプ |
NCID |
|
収録物識別子 |
AA12628305 |
| 書誌情報 |
研究報告セキュリティ心理学とトラスト(SPT)
巻 2024-SPT-56,
号 13,
p. 1-8,
発行日 2024-07-15
|
| ISSN |
|
|
収録物識別子タイプ |
ISSN |
|
収録物識別子 |
2188-8671 |
| Notice |
|
|
|
SIG Technical Reports are nonrefereed and hence may later appear in any journals, conferences, symposia, etc. |
| 出版者 |
|
|
言語 |
ja |
|
出版者 |
情報処理学会 |
IPSJ-SPT24056013.pdf (1.3 MB)
