米国および各国のサイバー・セキュリティ組織に所属する30名以上の専門家は米国時間2009年1月12日,Web上のセキュリティに影響を与えるプログラミング・エラーのリスト「 Top 25 Errors 」を発表した。リストでは,コンピュータ・ネットワークにおけるスパイ活動やサイバー犯罪に悪用されるセキュリティ・ホールの原因となる最も危険なプログラム・エラーとして25個をリストアップしている。
このリストは,リストアップした25個のエラーを,3つのカテゴリ「コンポーネント間の危険なインタラクション(Insecure Interaction Between Components)」「危険なリソース管理(Risky Resource Management)」「穴だらけの防御(Porous Defenses)」に分類し,それぞれのエラーの内容や修正方法を説明している。
同グループによれば,プログラマはこれらのエラーの大半を十分に理解していないという。これらを回避する方法は,コンピュータ・サイエンスのクラスでも教えられておらず,商用ソフトウエアを開発する企業でもこれらの存在を確認していない場合があるという。
エラーの影響は広範囲に及び,25個中2つのエラーは2008年に1500万件を超えるWebサイトのセキュリティ侵害の原因となっている。これらのセキュリティ侵害により,該当するWebサイトの訪問者のコンピュータがゾンビ化され,攻撃者による遠隔操作が可能な状態になったという。
「まず,これら25のエラーを含まないコードを記述する方法をプログラマに周知させる必要がある。次に,これらの問題を検出して修正する,または回避するプロセスをプログラミング・チームに設けさせるほか,コードにエラーが無いことを立証するツールを使用させる必要がある」(米SANS InstitutのディレクタのMason Brown氏)。
リストの作成は,非営利調査団体のMITREやSANS Instituteが中心となり,米国家安全保障局(NSA)や大手ソフトウエア・ベンダー,大学の専門家が協力している。
[発表資料へ]
