nikkei BPnet :: 日経BPのビジネス情報ポータル nikkei TRENDYnet :: トレンドウォッチ ポータル NBonline(日経ビジネスオンライン) :: ビジネスリーダーの羅針盤 PConline(日経パソコン オンライン) :: 仕事に役立つパソコン総合情報 ITpro :: ITプロフェッショナルのための専門情報 Tech-On! :: 技術者を応援する総合情報サイト 日経メディカル オンライン :: 臨床医のための情報サイト KEN-Platz(ケンプラッツ) :: 建設・不動産の総合情報サイト SAFETY JAPAN :: 安全な生活・セキュリティの総合サイト 経営とIT新潮流&EnterprisePlatform :: イノベータのための深掘り情報 BPtv :: 日経BPの動画ポータルサイト 日経キャリアNET :: 質の高い転職・求人情報
ITpro

ITpro Top エンタープライズ Development セキュリティ ネットワーク ITトレンド PR
マネジメント 情報システム データベース ミドルウェア Windows オープンソース/Linux サーバー&ストレージ
security
今週のトピックス
ITproからのお知らせ


ニュース
ITproB はてなAB お気に入りへ 印刷 ヘルプ

はてなアンテナ はてなブックマーク

「パッチから攻撃プログラムを自動生成」、米研究者が実験に成功

記事一覧へ

米研究者らによる論文「Automatic Patch-Based Exploit Generation is Possible:
米研究者らによる論文「Automatic Patch-Based Exploit Generation is Possible:
[画像のクリックで拡大表示]


 セキュリティ組織の米サンズ・インスティチュートは2008年4月18日、米大学の研究者らが、修正パッチ(セキュリティ更新プログラム)から攻撃プログラム(エクスプロイト)を自動的に生成する手法を発表したと伝えた。同手法を用いれば、パッチの入手から数分で攻撃プログラムを生成できるという。


 ソフトメーカーが公開した修正パッチを解析(リバースエンジニアリング)して、そのパッチで修正される脆弱(ぜいじゃく)性を突くプログラムを作成するのは、攻撃者の常とう手段。最近では、パッチ公開から数日で攻撃プログラムが公開されるケースが増えている。


 現在は、攻撃者が人手でパッチの解析や攻撃プログラムの作成をしているものの、これらが自動化されれば、もっと短期間に攻撃プログラムが出現し、より危険な状況になると考えられる。


 そこで、米バークレー大とピッツバーグ大、およびカーネギーメロン大の研究者らは共同で、自動化が可能かどうかを検討した。その結果、自動生成の手法を編み出し、その手法を実装したツールを試作。米マイクロソフトが過去に公開した5種類のパッチから、わずか数分で、攻撃プログラムを作成することに成功したという。研究者らは、現在の手法はすべてのパッチ(脆弱性)に対しては有効ではないものの、自動化が現実に可能であることは示せたとしている。


 攻撃者が同様の手法を用いれば、パッチが公開されてからすぐに攻撃プログラムが出回ることになる。そこで研究者らは、研究結果をまとめた論文中で攻撃者がパッチを入手しにくいように「安全に配布(secure distribution of patches)」することが対策になるだろうと示唆している。


 しかしながら、この対策について、サンズのスタッフは「意味がないように思う」とコメント。パッチの配布の際にユーザー認証などを実施するとなると、攻撃者ばかりか一般のユーザーもパッチを入手しにくくなるし、配布方法をいくら工夫しても、攻撃者は正規のユーザーとしてパッチを入手できるとしている。


 このためユーザーとしては、できるだけ早急にパッチを適用したり、設定変更などによる回避策を実施したりすることが重要だとしている。


     [記事一覧へ]   


(勝村 幸博=日経パソコン  [2008/04/21]





ITproB 会員登録
コメントを書く お気に入りへ
コメントを読む 印刷
はてなAB ヘルプ
はてなアンテナ はてなブックマーク

キヤノンITソリューションズ WEBGUARDIAN

セキュリティのTopics
ページトップ
ニュース
チェック・ポイントが高性能セキュリティ・アプライアンス装置を6月から出荷
「パッチから攻撃プログラムを自動生成」,米研究者が実験に成功
PayPal,フィッシング・フィルタの無いブラウザによるアクセスの遮断を検討中
オレンジソフトが送信キャンセル機能を備えたメール・サーバー・ソフト
エアーが添付ファイルの暗号化/保留/HTTP配布を兼ね備えたサーバー・ソフトを発売
セキュリティのTopics



PICK UPコンテンツ
ITpro協力誌一覧


ITpro 総合トップ


ITproについて会員登録・メールマガジン購読ITproプレミアム(有料サービス)MyITproについてITpro Researchについて
ITproへのお問い合わせ・ご意見日経BP書店日経BPケータイメニュー広告について
著作権リンクについて|個人情報保護方針/ネットにおける情報収集/個人情報の共同利用についてサイトマップ
プライバシーマーク

日経BP社Copyright (C) 1995-2008 Nikkei Business Publications, Inc. All rights reserved.
このページに掲載されている記事・写真・図表などの無断転載を禁じます。著作権は日経BP社,またはその情報提供者に帰属します。
掲載している情報は,記事執筆時点のものです。