セキュリティ組織の米サンズ・インスティチュートは2008年4月18日、米大学の研究者らが、修正パッチ(セキュリティ更新プログラム)から攻撃プログラム(エクスプロイト)を自動的に生成する手法を発表したと伝えた。同手法を用いれば、パッチの入手から数分で攻撃プログラムを生成できるという。
ソフトメーカーが公開した修正パッチを解析(リバースエンジニアリング)して、そのパッチで修正される脆弱(ぜいじゃく)性を突くプログラムを作成するのは、攻撃者の常とう手段。最近では、パッチ公開から数日で攻撃プログラムが公開されるケースが増えている。
現在は、攻撃者が人手でパッチの解析や攻撃プログラムの作成をしているものの、これらが自動化されれば、もっと短期間に攻撃プログラムが出現し、より危険な状況になると考えられる。
そこで、米バークレー大とピッツバーグ大、およびカーネギーメロン大の研究者らは共同で、自動化が可能かどうかを検討した。その結果、自動生成の手法を編み出し、その手法を実装したツールを試作。米マイクロソフトが過去に公開した5種類のパッチから、わずか数分で、攻撃プログラムを作成することに成功したという。研究者らは、現在の手法はすべてのパッチ(脆弱性)に対しては有効ではないものの、自動化が現実に可能であることは示せたとしている。
攻撃者が同様の手法を用いれば、パッチが公開されてからすぐに攻撃プログラムが出回ることになる。そこで研究者らは、研究結果をまとめた論文中で攻撃者がパッチを入手しにくいように「安全に配布(secure distribution of patches)」することが対策になるだろうと示唆している。
しかしながら、この対策について、サンズのスタッフは「意味がないように思う」とコメント。パッチの配布の際にユーザー認証などを実施するとなると、攻撃者ばかりか一般のユーザーもパッチを入手しにくくなるし、配布方法をいくら工夫しても、攻撃者は正規のユーザーとしてパッチを入手できるとしている。
このためユーザーとしては、できるだけ早急にパッチを適用したり、設定変更などによる回避策を実施したりすることが重要だとしている。
