脆弱性自動検知に向けたバイナリプログラム解析ツールの開発(SCIS2022) Development of a Binary Program Analysis Tool for Automatic Vulnerability Detection
2022.01.19
泉田大宗(IIJ技術研究所), 橋本政朋(千葉工業大学), 森彰(産業技術総合研究所)
筆者らは、IoTデバイスのセキュリティを自動的に分析・診断する手法として、ファームウェアの静的解析による脆弱性の自動検知技術に取り組んできた。本稿では、独自に開発したバイナリ静的解析ツールを既存の商用リバースエンジニアリングツールに統合することで、CPUアーキテクチャやOSやコンパイラに依存しない自動解析を実現した過程について説明する。そして、実際に報告されたIoTファームウェアの脆弱性を例に取り、典型的なメモリ破壊の脆弱性がどのように自動検知されるかについて解説する。