脆弱性対策に“救世主到来”? GoogleのAIツール「Big Sleep」がSQLiteのバグを特定:セキュリティニュースアラート
GoogleはAIベースの脆弱性発見ツール「Big Sleep」が、従来のファジング手法では発見が困難だったSQLiteのスタックバッファーの脆弱性を特定し、即日修正を完了させたと発表した。
Googleは2024年11月1日(現地時間)、AIによるセキュリティ対策の成果として新たな脆弱(ぜいじゃく)性発見ツール「Big Sleep」プロジェクトの成果を発表した。従来の手法では見つけにくい脆弱性をBig Sleepによって発見できたと報告した。
Big Sleepは脆弱性対策の“救世主”になり得るのか?
Big SleepはGoogle Project ZeroとGoogle DeepMindの共同プロジェクトで開発された大規模言語モデル(LLM)ベースの脆弱性発見ツールだ。コードの脆弱性を発見および修正することを目的にしている。Googleの発表によると、Big Sleepによって「SQLite」の脆弱性を発見できたという。この脆弱性はSQLiteのスタックバッファーに関するものとされ、悪用されるとメモリの安全性が損なわれる可能性がある。
Googleはこの脆弱性を2024年10月初旬にSQLiteの開発者に報告しており、即日修正が完了したため最終的にユーザーへの影響は回避されたと発表している。また、同社によると、今回の事例はBig Sleepによって脆弱性が発見された初の実例であり、一般的なセキュリティテストでは検知されない複雑なバグをAIエージェントが見つけ出したという。
AIによる脆弱性の発見の利点は攻撃者に悪用される前に予防的な修正ができる点にある。ファジングのような従来のテスト手法も一定の効果はあるが、より複雑で検知困難なバグに対応するにはAIの活用が必要とされている。
一方、Big Sleepの成果は実験段階にあるとしており、全ての脆弱性においてAIが最適解を提供するわけではないことも認めている。特定の脆弱性には従来のファジングツールが適している場合もあり、LLMを用いた新手法と既存の手法を併用することが重要とされている。
Googleはこの取り組みが将来的には高品質の根本原因分析を提供できる可能性があるとし、問題のトリアージおよび修正がより安価で効果的に実施できる可能性があるとしている。取り組みを継続して研究を共有し、ゼロデイ攻撃に対応する方針を示している。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
知っているようで意外と知らない? “脆弱性管理”の解像度を上げよう
脆弱性管理の重要性については皆さん理解しているかと思いますが、これをどう進めればいいのか高い解像度を持って実行できている企業は多くない気がします。こうした中、待望のドキュメントが登場したので紹介します。
半数以上が「最新のパッチを適用済み」なのに、サイバー被害に遭うワケ
サイバー攻撃の被害を防ぐには一にも二にも最新のパッチ適用が重要です。ただ、最近のサイバー攻撃者の気になる動きから、これだけでは攻撃を防げない実態が見えてきました。
イセトーのランサムウェア被害、その侵入経路は?【セキュリティニュースまとめ】
2024年10月は、VMware製品に関する脆弱性情報や新たなマルウェア、イセトーのランサムウェアの被害報告書の公開など多くのニュースが公開された。話題になったニュースをあらためて振り返ろう。
企業がOSSメンテナーに“ただ乗り” この風潮はいつ是正されるのか?
オープンソースソフトウェアの開発者と企業をはじめとしたソフトウェアユーザーとの間には、依然として格差が存在している。ソフトウェアユーザーが高いセキュリティ基準を求める一方で必要な投資をしないため、この風潮は変わっていない。