ReDoS脆弱性を自動修正する技術、NTTと早稲田大が「世界に先駆けて」開発
NTTと早稲田大学は、「ReDoS脆弱性」を自動修正する技術を、世界に先駆けて開発したと発表した。専門知識のない開発者でも、ReDoS脆弱性を容易に修正できるという。
NTT(持ち株会社)と早稲田大学は3月23日、プログラムの脆弱性の一つ「ReDoS脆弱性」を自動修正する技術を、世界に先駆けて開発したと発表した。専門知識のない開発者でも、ReDoS脆弱性を容易に修正できるという。
正規表現とは、特定の文字列をルールに基づき簡略化して表現する方法で、ほとんどのプログラミング言語に組み込まれている。Webサービスなどで、ユーザの入力値が期待したものかを検証するなど幅広い場面で利用されている。
ただ、検証すべき文字列が厳密に定義できていないと、脆弱性になってしまう。処理時間が長くなる入力を与えて計算リソースを消費し、負荷を大幅に増大させる攻撃が可能になるためだ。
ReDoS脆弱性が原因で商用のサービスが停止するインシデントはここ数年でたびたび発生しているという。
新技術では、ReDoS脆弱性がないことを保証するため、正規表現の書き方から曖昧さを排除し、任意の文字列に対してパターンマッチの方法を一意に定める条件を定義。それに合う修正正規表現を出力させることにより、出力結果に理論的にReDoS脆弱性がないことを保証する。
NTTが、実世界の正規表現におけるReDoS脆弱性の定義や修正問題の定義、修正アルゴリズムを考案。その手法の理論的な正確さを、早稲田大学理工学術院の寺内多智弘教授が検証した。
新技術は、2022年5月22〜26日に開催されるセキュリティとプライバシー分野の国際会議「IEEE S&P 2022」で発表する。
関連記事
- IPA、専門家による脆弱性診断を無料提供 中小運営のECサイト向け
IPAが、ECサイトを運営する中小企業向けに、専門家による脆弱性診断を無料で提供する。通常は100万円程度の費用が掛かるサービスだが、脆弱性を巡る現状把握に向け、経済産業省の補助を受け無料で実施するという。 - 自社のDB破壊しCEOに身代金要求、freeeが本当にやったクラウド障害訓練の舞台裏 「従業員はトラウマに」
AWS上のDBからデータを盗み出し、自社のCEOに社内SNSを通して身代金を要求する障害訓練を行ったfreee。従業員にトラウマを与えたというこの訓練には、どんな目的があったのか。キーパーソンに実施の背景や効果を聞く。 - ランサムウェアグループ、ロシア政府支持を一時表明 ロシアを標的としたサイバー攻撃に「持てるリソースを全て注ぎ込み報復」
ランサムウェア「Conti」を開発する犯罪グループが、ロシアとウクライナの情勢についてロシア政府を支持する声明を発表した。 - 元・Java専門記者がLog4j 2脆弱性に見た「複雑性と魔神のかけら」 Javaの歴史とバザールの矛盾
Log4j 2で問題となった脆弱性は、プログラミングやコンピュータの知識が少しあれば「なぜこんな危険な実装がされていたのか」と疑問に思う内容だ。歴史の歯車が別の方向に噛み合っていれば、こうはならなかったかもしれない。Javaを専門に取材してきた筆者が、この悲劇の背景をひも解いていく。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.