過信は禁物 生成AIが書いたソースコードの約3割に脆弱性が見つかる:セキュリティニュースアラート
調査からアプリケーションのソースコードの約7割に脆弱性が含まれていることが明らかになった。また、生成AIが書いたソースコードにも脆弱性が含まれているケースがあるようだ。
この記事は会員限定です。会員登録すると全てご覧いただけます。
コンピュータ情報サイトの「Help Net Security」は2024年2月20日(現地時間)、セキュリティ企業のVeracodeのレポートを引き合いに出し、アプリケーションの63%がファーストパーティーコードに欠陥を持ち、70%がサードパーティーライブラリーを通じてインポートされたコードに脆弱(ぜいじゃく)性を持つと発表した。
生成AIが書いたソースコードの過信は禁物 約3割で脆弱性が見つかる
レポートによると、アプリケーションの脆弱性は組織におけるサイバー攻撃のリスク要因となる。1年以上修正されていないアプリケーションの脆弱性、すなわち「セキュリティ負債」を抱えている組織は46%ほどになるという。
この状況を改善するためにはソフトウェア開発ライフサイクル全体を通じてこれらの脆弱性のテストを実施することが重要で、利用しているサードパーティーライブラリーの脆弱性について継続的に修正を続けることが求められる。
ソフトウェア開発者は開発作業を効率化するために、生成AI(人工知能)を利用するようになっている。最近は開発環境における生成AI機能の統合が進められており、開発者は効率的に生成AIからのアドバイスや、生成AIの提示するソースコードを活用できるようになっている。
しかし生成AIが作成するソースコードには脆弱性が含まれているケースもあり注意が必要だ。セキュリティ研究者らが公開した「Security Weaknesses of Copilot Generated Code in GitHub」によると、「GitHub.com」でホストされている「Microsoft Copilot」が生成したソースコードに対して脆弱性解析を実施し、調査した425個のコードスニペット(6つのプログラミング言語)の35.8%に脆弱性が含まれていたという。
関連記事
高校生が学ぶ「情報II」が“本気すぎる” 研修にも使える教材のポイントを紹介
高校生の授業科目である「情報II」で学ぶ内容が非常に本格的だと話題になっています。大学時代に「情報」を学んでいた筆者が早速読んでみたところ、確かに“全くあなどれない”内容でした。
「DNSに対する最悪の攻撃」 DNSSEC設計の根幹に関わる脆弱性「KeyTrap」が見つかる
ATHENEはDNSSECの設計に深刻な欠陥があると発表した。この脆弱性を悪用すると単一のDNSパケットで全てのDNS実装とパブリックDNSプロバイダーを停止状態にすることが可能だという。
「多要素認証が破られた!」とならないために 認証強度を上げる6つのコツ
多要素認証(MFA)は完璧なセキュリティ対策ではないが、ID/パスワードのみの単一要素認証に頼るよりはよほど効果的だ。だが、ただMFAを導入するだけでは不十分だ。バイパス事例などを踏まえて、MFAの強度を上げるコツを紹介する。
LLMがWebサイトを自動ハッキング 研究者らが各LLMの性能を比較
最新の研究でLLMがWebサイトを自動的にハッキングできることが明らかになった。自律的なWebサイトハッキングの可能性が実証され、防御と攻撃のバランスに影響を与える可能性がある。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 「欧州 AI法」がついに成立 罰金「50億円超」を回避するためのポイントは?
- 「プロセスマイニング」が社内システムのポテンシャルを引き出す理由
- 「SAPのUXをガラッと変える」 AIアシスタントJouleの全体像とは?
- “生成AI依存”が問題になり始めている 活用できないどころか顧客離れになるかも?
- 日本企業は従業員を“信頼しすぎ”? 情報漏えいのリスクと現状をProofpointが調査
- 検出回避を狙う攻撃者の動きは加速、防御者がやるべきことは Mandiantが調査を公開
ITmediaはアイティメディア株式会社の登録商標です。