論文の概要: Automated SBOM-Driven Vulnerability Triage for IoT Firmware: A Lightweight Pipeline for Risk Prioritization

• arxiv url: http://arxiv.org/abs/2601.01308v1
• Date: Sun, 04 Jan 2026 00:09:01 GMT
• ステータス: 翻訳完了
• システム内更新日: 2026-01-06 16:25:22.18326
• Title: Automated SBOM-Driven Vulnerability Triage for IoT Firmware: A Lightweight Pipeline for Risk Prioritization
• Title（参考訳）: IoTファームウェアの自動SBOM駆動脆弱性トリアージ:リスク優先順位付けのための軽量パイプライン
• Authors: Abdurrahman Tolay,
• Abstract要約: 本稿では,LinuxベースのIoTファームウェアからファイルシステムを抽出する軽量で自動化されたパイプラインを提案する。 包括的なSoftware Bill of Materialsを生成し、特定されたコンポーネントを既知の脆弱性にマップし、多要素トリアージスコアモデルを適用します。 アーキテクチャ,組込みLinuxの正規化課題,および警告疲労軽減を目的とした評価手法について述べる。
• 参考スコア（独自算出の注目度）: 0.0
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: The proliferation of Internet of Things (IoT) devices has introduced significant security challenges, primarily due to the opacity of firmware components and the complexity of supply chain dependencies. IoT firmware frequently relies on outdated, third-party libraries embedded within monolithic binary blobs, making vulnerability management difficult. While Software Bill of Materials (SBOM) standards have matured, generating actionable intelligence from raw firmware dumps remains a manual and error-prone process. This paper presents a lightweight, automated pipeline designed to extract file systems from Linux-based IoT firmware, generate a comprehensive SBOM, map identified components to known vulnerabilities, and apply a multi-factor triage scoring model. The proposed system focuses on risk prioritization by integrating signals from the Common Vulnerability Scoring System (CVSS), Exploit Prediction Scoring System (EPSS), and the CISA Known Exploited Vulnerabilities (KEV) catalog. Unlike conventional scanners that produce high volumes of uncontextualized alerts, this approach emphasizes triage by calculating a localized risk score for each finding. We describe the architecture, the normalization challenges of embedded Linux, and a scoring methodology intended to reduce alert fatigue. The study outlines a planned evaluation strategy to validate the extraction success rate and triage efficacy using a dataset of public vendor firmware, offering a reproducibility framework for future research in firmware security.
• Abstract（参考訳）: モノのインターネット(IoT)デバイスの普及は、ファームウェアコンポーネントの不透明さとサプライチェーン依存関係の複雑さによって、重大なセキュリティ上の問題を引き起こしている。 IoTファームウェアは、モノリシックなバイナリブロブに埋め込まれた時代遅れのサードパーティライブラリに依存することが多いため、脆弱性管理が難しくなる。 Software Bill of Materials (SBOM)標準は成熟しているが、生のファームウェアダンプから実行可能なインテリジェンスを生成することは、手動およびエラーを起こしやすいプロセスである。 本稿では、LinuxベースのIoTファームウェアからファイルシステムを抽出し、包括的なSBOMを生成し、特定コンポーネントを既知の脆弱性にマップし、マルチファクタトリアージスコアモデルを適用するために設計された、軽量で自動化されたパイプラインを提案する。 提案システムは,CVSS (Common Vulnerability Scoring System) やEPSS (Exploit Prediction Scoring System) やCISA Known Exploited Vulnerabilities (KEV) のカタログからの信号を統合することで,リスク優先順位付けに重点を置いている。 大量の非コンテクスト化アラートを生成する従来のスキャナとは異なり、本手法は各発見に対する局所化リスクスコアを計算することでトリアージを強調する。 アーキテクチャ,組込みLinuxの正規化課題,および警告疲労軽減を目的とした評価手法について述べる。 本研究は, ファームウェアのデータセットを用いて, 抽出成功率とトリアージ有効性を検証し, 将来のファームウェアセキュリティ研究のための再現性フレームワークを提供するための評価戦略を概説する。

関連論文リスト

• ORCA -- An Automated Threat Analysis Pipeline for O-RAN Continuous Development [57.61878484176942]
  Open-Radio Access Network (O-RAN)は、多くのソフトウェアコンポーネントをクラウドのようなデプロイメントに統合し、これまで考えられていなかったセキュリティ脅威に無線アクセスネットワークを開放する。 現在の脆弱性評価の実践は、しばしば手動、労働集約、主観的な調査に依存しており、脅威分析の不整合につながる。 人間の介入や関連するバイアスを最小限に抑えるために,自然言語処理(NLP)を活用する自動パイプラインを提案する。
  論文  参考訳（メタデータ） (2026-01-20T07:31:59Z)
• Beyond Model Jailbreak: Systematic Dissection of the "Ten DeadlySins" in Embodied Intelligence [36.972586142931256]
  Embodied AIシステムは、言語モデルと現実世界のセンシング、モビリティ、クラウドに接続されたモバイルアプリを統合する。 われわれはUnitree Go2プラットフォームの最初の総合的なセキュリティ分析を行う。 クロスレイヤの脆弱性10つ、"Embodied AI Securityの10点"を発見
  論文  参考訳（メタデータ） (2025-12-06T10:38:00Z)
• Automated Vulnerability Validation and Verification: A Large Language Model Approach [7.482522010482827]
  本稿では、生成AI、特に大規模言語モデル(LLM)を利用したエンドツーエンド多段階パイプラインを提案する。 本手法は,国立脆弱性データベース(National Vulnerability Database)のCVE開示情報から抽出する。 これは、Retrieval-Augmented Generation (RAG)を使用して、外部の公開知識(例えば、脅威アドバイザリ、コードスニペット)で拡張する。 パイプラインは生成されたアーティファクトを反復的に洗練し、テストケースでのアタック成功を検証し、複雑なマルチコンテナセットアップをサポートする。
  論文  参考訳（メタデータ） (2025-09-28T19:16:12Z)
• A.S.E: A Repository-Level Benchmark for Evaluating Security in AI-Generated Code [49.009041488527544]
  A.S.Eは、AI生成コードのセキュリティを評価するためのリポジトリレベルの評価ベンチマークである。 現在の大規模言語モデル(LLM)は、セキュアなコーディングに苦戦している。 大きな推論予算は、必ずしもより良いコード生成につながるとは限らない。
  論文  参考訳（メタデータ） (2025-08-25T15:11:11Z)
• CANDoSA: A Hardware Performance Counter-Based Intrusion Detection System for DoS Attacks on Automotive CAN bus [45.24207460381396]
  本稿では,制御領域ネットワーク(CAN)環境向けに設計された新しい侵入検知システム(IDS)を提案する。 RISC-VベースのCAN受信機はgem5シミュレータを用いてシミュレートされ、AES-128暗号化によるCANフレームペイロードをFreeRTOSタスクとして処理する。 結果は、このアプローチがCANセキュリティを大幅に改善し、自動車サイバーセキュリティにおける新たな課題に対処する可能性があることを示唆している。
  論文  参考訳（メタデータ） (2025-07-19T20:09:52Z)
• T2VShield: Model-Agnostic Jailbreak Defense for Text-to-Video Models [88.63040835652902]
  テキストからビデオモデルへの攻撃はジェイルブレイク攻撃に弱いため、特別な方法で安全メカニズムをバイパスし、有害または安全でないコンテンツの生成につながる。 我々は、ジェイルブレイクの脅威からテキストからビデオモデルを守るために設計された包括的でモデルに依存しない防衛フレームワークであるT2VShieldを提案する。 本手法は,既存の防御の限界を特定するために,入力,モデル,出力の段階を体系的に解析する。
  論文  参考訳（メタデータ） (2025-04-22T01:18:42Z)
• How Robust Are Router-LLMs? Analysis of the Fragility of LLM Routing Capabilities [62.474732677086855]
  大規模言語モデル(LLM)ルーティングは,計算コストと性能のバランスをとる上で重要な戦略である。 DSCベンチマークを提案する: Diverse, Simple, and Categorizedは、幅広いクエリタイプでルータのパフォーマンスを分類する評価フレームワークである。
  論文  参考訳（メタデータ） (2025-03-20T19:52:30Z)
• FirmRCA: Towards Post-Fuzzing Analysis on ARM Embedded Firmware with Efficient Event-based Fault Localization [37.29599884531106]
  FirmRCAは、組み込みファームウェアに特化した実用的なフォールトローカライゼーションフレームワークである。 その結果,FirmRCAは,トップ10のインストラクション内において,クラッシュするテストケースの根本原因を効果的に特定できることがわかった。
  論文  参考訳（メタデータ） (2024-10-24T07:12:08Z)
• The Impact of SBOM Generators on Vulnerability Assessment in Python: A Comparison and a Novel Approach [56.4040698609393]
  Software Bill of Materials (SBOM) は、ソフトウェア構成における透明性と妥当性を高めるツールとして推奨されている。 現在のSBOM生成ツールは、コンポーネントや依存関係を識別する際の不正確さに悩まされることが多い。 提案するPIP-sbomは,その欠点に対処する新しいピップインスパイアされたソリューションである。
  論文  参考訳（メタデータ） (2024-09-10T10:12:37Z)
• On Security Weaknesses and Vulnerabilities in Deep Learning Systems [32.14068820256729]
  具体的には、ディープラーニング(DL)フレームワークについて検討し、DLシステムにおける脆弱性に関する最初の体系的な研究を行う。 各種データベースの脆弱性パターンを探索する2ストリームデータ分析フレームワークを提案する。 我々は,脆弱性のパターンと修正の課題をよりよく理解するために,3,049個のDL脆弱性を大規模に検討した。
  論文  参考訳（メタデータ） (2024-06-12T23:04:13Z)
• Securing the Open RAN Infrastructure: Exploring Vulnerabilities in Kubernetes Deployments [60.51751612363882]
  ソフトウェアベースのオープン無線アクセスネットワーク(RAN)システムのセキュリティへの影響について検討する。 我々は、Near Real-Time RAN Controller(RIC)クラスタをサポートするインフラストラクチャに潜在的な脆弱性と設定ミスがあることを強調します。
  論文  参考訳（メタデータ） (2024-05-03T07:18:45Z)
• Enhancing IoT Malware Detection through Adaptive Model Parallelism and Resource Optimization [0.6856683556201506]
  本研究では,IoTデバイスに適したマルウェア検出手法を提案する。 リソースの可用性、進行中のワークロード、通信コストに基づいて、マルウェア検出タスクはデバイス上で動的に割り当てられるか、隣接するIoTノードにオフロードされる。 実験結果から,本手法はデバイス上での推測に比べて9.8倍の高速化を実現していることがわかった。
  論文  参考訳（メタデータ） (2024-04-12T20:51:25Z)
• Profile of Vulnerability Remediations in Dependencies Using Graph Analysis [40.35284812745255]
  本研究では,グラフ解析手法と改良型グラフ注意畳み込みニューラルネットワーク(GAT)モデルを提案する。 制御フローグラフを分析して、脆弱性の修正を目的とした依存性のアップグレードから発生するアプリケーションの変更をプロファイルします。 結果は、コード脆弱性のリレーショナルダイナミクスに関する微妙な洞察を提供する上で、強化されたGATモデルの有効性を示す。
  論文  参考訳（メタデータ） (2024-03-08T02:01:47Z)
• Automating SBOM Generation with Zero-Shot Semantic Similarity [2.169562514302842]
  Software-Bill-of-Materials (SBOM)は、ソフトウェアアプリケーションのコンポーネントと依存関係を詳述した総合的なインベントリである。 本稿では,破壊的なサプライチェーン攻撃を防止するため,SBOMを自動生成する手法を提案する。 テスト結果は説得力があり、ゼロショット分類タスクにおけるモデルの性能を示す。
  論文  参考訳（メタデータ） (2024-02-03T18:14:13Z)
• Effective Intrusion Detection in Heterogeneous Internet-of-Things Networks via Ensemble Knowledge Distillation-based Federated Learning [52.6706505729803]
  我々は、分散化された侵入検知システムの共有モデル(IDS)を協調訓練するために、フェデレートラーニング(FL)を導入する。 FLEKDは従来のモデル融合法よりも柔軟な凝集法を実現する。 実験の結果,提案手法は,速度と性能の両面で,局所訓練と従来のFLよりも優れていた。
  論文  参考訳（メタデータ） (2024-01-22T14:16:37Z)
• HW-V2W-Map: Hardware Vulnerability to Weakness Mapping Framework for Root Cause Analysis with GPT-assisted Mitigation Suggestion [3.847218857469107]
  HW-V2W-Map Frameworkは、ハードウェア脆弱性とIoT(Internet of Things)セキュリティに焦点を当てた機械学習(ML)フレームワークである。 私たちが提案したアーキテクチャには,オントロジーを更新するプロセスを自動化する,オントロジー駆動のストーリテリングフレームワークが組み込まれています。 提案手法は,GPT (Generative Pre-trained Transformer) Large Language Models (LLMs) を用いて緩和提案を行った。
  論文  参考訳（メタデータ） (2023-12-21T02:14:41Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。