ソースコードのバグをググる「Bugleプロジェクト」

[Ryan Naraine，eWEEK]

　英国の研究者が立ち上げた新しい研究プロジェクトによれば、世界で最も人気の高い検索エンジンGoogleは、インターネット上に置かれたソフトウェアソースコードのバグの特定にも利用できるという。

　Bugleと呼ばれるこのプロジェクトは、Google検索クエリーのコレクション。このコレクションを使えば、Googleによってインデックス化されたオープンソースコード中の一般的な脆弱性を特定できる。

　KPMGのセキュリティ侵入テスター兼ソースコードレビュアーのエマニュエル・ケリニス氏は当初、一般的なコーディングのミスを特定すべくBugleの取り組みを個人的に開始したが、その後、検索クエリーのリストを拡張するためにプロジェクトの公開に踏み切ったという。

　eWEEKによる電子メールの取材に応じ、ケリニス氏は次のように語っている。「Bugleは主にオープンソースプロジェクト向けに構築されたものだ。もちろん、Googleデスクトップユーティリティを使って、より広範なコミュニティーで利用してもらえる」

　ケリニス氏は、BugleのクエリーをGoogleの「非常に高度なインデックスアルゴリズム」と組み合わせれば、セキュリティ研究者は同エンジンによってインデックス化された脆弱なコードを特定できると考えている。「Bugleは脆弱性の可能性についてヒントを与えてくれる。ただし、実際の問題を特定するためにはスキルが必要だ」と同氏。

　サードパーティーの研究者の支援を受けて、ケリニス氏はこれまでに、バッファオーバーフロー、整数オーバーフロー、書式文字列、コマンドインジェクション、SQLインジェクション、クロスサイトスクリプティングの脆弱性などの特定に役立つ検索文字列を発表している。

　Bugleプロジェクトはさらに、ソースコードに付き物の悪しき慣習や疑わしいコメントの特定にも役立てられる。このプロジェクトを立ち上げるに際し、ケリニス氏はSymantecのオリー・ホワイトハウス氏やGoogleハッカーのフィリップ・レンセン氏など、何人かの著名なプログラマーやセキュリティ研究者からアドバイスを受けている。

　またBugleではGoogle Alertサービスも利用できるため、開発者や研究者は登録済みのクエリーについては、ソースコードの新しい脆弱性を早い段階で通知してもらえる。

　「Googleは優れた検索エンジンだ。非常に高度なインデックスアルゴリズムと膨大なリソースデータベースを備えている。Googleはさまざまなタスクにとって非常に重要なツールとなるが、セキュリティ研究も間違いなくそのうちの1つに含まれる」とケリニス氏。

　ケリニス氏は、拡張版のBugleプロジェクトはオープンソースコミュニティーによって、より迅速にセキュリティバグを排除するための手段として使われると考えている。「研究者と開発者は脆弱なコードを見つけ出し、大量のファイルをダウンロードしなくても、そうした脆弱性を個々に報告したり修正したりできる」と同氏。

　さらにケリニス氏は、Bugleはオープンソースプログラマー向けのリファレンスとしても利用できると考えている。「プログラマーはリストを調べれば、注意すべきポイントを把握できる」と同氏。

　Bugleの公開に先立ち、H・D・ムーア氏もマルウェア検索プロジェクトを公開している。このプロジェクトでは、Googleクエリーを介して直にマルウェアサンプルを見つけるためのWebインタフェースが提供されている。

　ムーア氏はMetasploitハッキングツールの作成者で、MoBB（Month of Browser Bugs）プロジェクトにも参加しているセキュリティ研究者だ。同氏は、既知のマルウェアに関する情報を使って、直接Googleを検索するためのマルウェア検索ツールを開発した。このプロジェクトでは、コード列（つまり、マルウェアサンプルのフィンガープリント）を使って、そうした特徴をGoogleで検索するようになっている。

　Websenseのセキュリティ研究所のセキュリティ研究者もまた、インターネット上の悪性の.exeファイルの検索にGoogleを使っている。Websenseは無料で公開されているGoogle SOAP Search APIを使って、ハッカーフォーラムやニュースグループ、メーリングリストのアーカイブなどにホストされたマルウェアの検索を自動化している。

原文へのリンク