• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
ニュース

「パッチから攻撃プログラムを自動生成」、米研究者が実験に成功

勝村 幸博=日経パソコン 2008/04/21 日経パソコン

 セキュリティ組織の米サンズ・インスティチュートは2008年4月18日、米大学の研究者らが、修正パッチ(セキュリティ更新プログラム)から攻撃プログラム(エクスプロイト)を自動的に生成する手法を発表したと伝えた。同手法を用いれば、パッチの入手から数分で攻撃プログラムを生成できるという。

 ソフトメーカーが公開した修正パッチを解析(リバースエンジニアリング)して、そのパッチで修正される脆弱(ぜいじゃく)性を突くプログラムを作成するのは、攻撃者の常とう手段。最近では、パッチ公開から数日で攻撃プログラムが公開されるケースが増えている。

 現在は、攻撃者が人手でパッチの解析や攻撃プログラムの作成をしているものの、これらが自動化されれば、もっと短期間に攻撃プログラムが出現し、より危険な状況になると考えられる。

 そこで、米バークレー大とピッツバーグ大、およびカーネギーメロン大の研究者らは共同で、自動化が可能かどうかを検討した。その結果、自動生成の手法を編み出し、その手法を実装したツールを試作。米マイクロソフトが過去に公開した5種類のパッチから、わずか数分で、攻撃プログラムを作成することに成功したという。研究者らは、現在の手法はすべてのパッチ(脆弱性)に対しては有効ではないものの、自動化が現実に可能であることは示せたとしている。

 攻撃者が同様の手法を用いれば、パッチが公開されてからすぐに攻撃プログラムが出回ることになる。そこで研究者らは、研究結果をまとめた論文中で攻撃者がパッチを入手しにくいように「安全に配布(secure distribution of patches)」することが対策になるだろうと示唆している。

 しかしながら、この対策について、サンズのスタッフは「意味がないように思う」とコメント。パッチの配布の際にユーザー認証などを実施するとなると、攻撃者ばかりか一般のユーザーもパッチを入手しにくくなるし、配布方法をいくら工夫しても、攻撃者は正規のユーザーとしてパッチを入手できるとしている。

 このためユーザーとしては、できるだけ早急にパッチを適用したり、設定変更などによる回避策を実施したりすることが重要だとしている。

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

  • 【速報】

    ついに破られた「SHA-1」、Googleが衝突攻撃に成功

     米Googleは現地時間2017年2月23日、ハッシュ関数「SHA-1」の衝突耐性を突く実用的な攻撃手段を初めて成功させたと発表した。同社は「SHA-1がもはや安全と言い切れないことが確実になった」とし、より強力な暗号化技術に移行するよう呼びかけている。

  • 【ニュース解説】

    提唱者が解説、なぜ「情報銀行」を設立するか

     GPS(全地球測位システム)データや鉄道の乗降データなど「人の動き」に関するビッグデータを解析し、防災や医療に役立つように可視化する。この一連の研究に取り組むのが柴崎亮介氏だ。個人のデータの蓄積が進めば社会はより良くなるとの考えの下、技術の研究に留まらず「情報銀行」の設立を推進する。

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

サーバー/ストレージ

クライアント/OA機器

ネットワーク/通信サービス

セキュリティ

もっと見る