過信は禁物 生成AIが書いたソースコードの約3割に脆弱性が見つかる:セキュリティニュースアラート
調査からアプリケーションのソースコードの約7割に脆弱性が含まれていることが明らかになった。また、生成AIが書いたソースコードにも脆弱性が含まれているケースがあるようだ。
コンピュータ情報サイトの「Help Net Security」は2024年2月20日(現地時間)、セキュリティ企業のVeracodeのレポートを引き合いに出し、アプリケーションの63%がファーストパーティーコードに欠陥を持ち、70%がサードパーティーライブラリーを通じてインポートされたコードに脆弱(ぜいじゃく)性を持つと発表した。
生成AIが書いたソースコードの過信は禁物 約3割で脆弱性が見つかる
レポートによると、アプリケーションの脆弱性は組織におけるサイバー攻撃のリスク要因となる。1年以上修正されていないアプリケーションの脆弱性、すなわち「セキュリティ負債」を抱えている組織は46%ほどになるという。
この状況を改善するためにはソフトウェア開発ライフサイクル全体を通じてこれらの脆弱性のテストを実施することが重要で、利用しているサードパーティーライブラリーの脆弱性について継続的に修正を続けることが求められる。
ソフトウェア開発者は開発作業を効率化するために、生成AI(人工知能)を利用するようになっている。最近は開発環境における生成AI機能の統合が進められており、開発者は効率的に生成AIからのアドバイスや、生成AIの提示するソースコードを活用できるようになっている。
しかし生成AIが作成するソースコードには脆弱性が含まれているケースもあり注意が必要だ。セキュリティ研究者らが公開した「Security Weaknesses of Copilot Generated Code in GitHub」によると、「GitHub.com」でホストされている「Microsoft Copilot」が生成したソースコードに対して脆弱性解析を実施し、調査した425個のコードスニペット(6つのプログラミング言語)の35.8%に脆弱性が含まれていたという。
関連記事
- 高校生が学ぶ「情報II」が“本気すぎる” 研修にも使える教材のポイントを紹介
高校生の授業科目である「情報II」で学ぶ内容が非常に本格的だと話題になっています。大学時代に「情報」を学んでいた筆者が早速読んでみたところ、確かに“全くあなどれない”内容でした。 - 「DNSに対する最悪の攻撃」 DNSSEC設計の根幹に関わる脆弱性「KeyTrap」が見つかる
ATHENEはDNSSECの設計に深刻な欠陥があると発表した。この脆弱性を悪用すると単一のDNSパケットで全てのDNS実装とパブリックDNSプロバイダーを停止状態にすることが可能だという。 - 「多要素認証が破られた!」とならないために 認証強度を上げる6つのコツ
多要素認証(MFA)は完璧なセキュリティ対策ではないが、ID/パスワードのみの単一要素認証に頼るよりはよほど効果的だ。だが、ただMFAを導入するだけでは不十分だ。バイパス事例などを踏まえて、MFAの強度を上げるコツを紹介する。 - LLMがWebサイトを自動ハッキング 研究者らが各LLMの性能を比較
最新の研究でLLMがWebサイトを自動的にハッキングできることが明らかになった。自律的なWebサイトハッキングの可能性が実証され、防御と攻撃のバランスに影響を与える可能性がある。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.