やっぱり安全を求めるなら「C」や「C++」ではなく「Rust」 Androidが取り組みを紹介:セキュリティニュースアラート
GoogleのAndroidチームはファームウェアのセキュリティを高めるためにメモリセーフなプログラミング言語であるRustの導入を紹介した。具体的にはどう活用しているのだろうか。
GoogleのAndroidチームは2024年9月4日(現地時間)、公式のセキュリティブログで、「Android」におけるファームウェアの安全性向上に関する取り組みを発表した。メモリセーフなプログラミング言語である「Rust」をファームウェアに導入することで脆弱(ぜいじゃく)性を軽減できると解説している。
Rustでファームウェアの安全性をどう向上させるか? Androidの取り組み
Androidは設計段階から安全性が重視されており、リリースごとにOSの悪用が困難になるよう工夫されている。その一環としてAndroidのファームウェアにRustが段階的に導入されており、メモリ安全性を向上させている。特に新しいコードやセキュリティリスクが高いコードに優先してRustを採用することで、脆弱性の削減が図られている。
従来のファームウェアは「C」や「C++」といったプログラミング言語で記述されることが多く、その脆弱性が悪意のある攻撃者に悪用されるリスクがあるという。また、最近のスマートフォンには多くのコプロセッサが搭載されており、それぞれが独自のファームウェアを実行している。それらのファームウェアの中にはレガシーコードが含まれており、セキュリティ上の問題となっている。RustはCやC++に代わる安全なプログラミング言語として注目されており、Androidチームは導入を推進している。
具体的なアプローチとしては、まず最もリスクの高い部分からRustを適用し、C関数をRust関数に置き換える手法を駆使して安全性を強化することが挙げられている。Rustがベアメタル環境でどのように動作するかについても言及しており、ファームウェアの既存コードに対しても適切な対応が可能であることが示されている。さらにRustの導入に当たっては、適切なオープンソースクレート(Rustライブラリー)を選定することが推奨されている。
Rustをファームウェアに導入することでコードの安全性が確保され、既存の脆弱性を低減できる。RustとCには相互運用性があり、既存のコードやAPIを大きく変更することなく安全性の強化が可能であることが強調されている。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
“名前を言ってはいけないあのマルウェア”が登場 日本も攻撃の標的に
日本プルーフポイントは「Voldemort」(ヴォルデモート)と名付けられたマルウェアを利用したフィッシングキャンペーンを報告した。政府税務当局になりすます手法で日本をはじめ世界中の組織が標的にされている。
コインチェックはどうやってゼロトラストを実現したか アーキテクチャを完全解剖
一時期バズワードとなった「ゼロトラスト」。この重要性を分かってはいてもなかなか実現できていない企業が多いのも事実だ。コインチェックが自社のゼロトラストアーキテクチャ構築の変遷と取り組みに向けた具体的なステップを示した。
2要素認証の突破はもはや当たり前 “ここまでやるか”と思わせる攻撃者の最新手口
サイバー攻撃者たちの攻撃手法は日々巧妙化しています。何と最近、頼みの綱だった2要素認証ですら突破された事例まで報告されました。サイバー攻撃者は果たしてどのような手法を使ったのでしょうか。
半田病院を襲ったランサムウェア被害 当時者が語る「生々しい被害実態」と「教訓」
2021年10月、徳島県つるぎ町立半田病院の電子カルテシステムが停止し、プリンタからは犯行声明が印刷された。のちに世間を大きく注目されることになるランサムウェア被害から同院はどう復旧したのか。生々しい実態を当事者が語った。