NTTと早稲田大学が世界初のインジェクション攻撃対策技術を開発、文字列操作の誤り修正で安全性が向上
スポンサーリンク
記事の要約
- NTTと早稲田大学がインジェクション攻撃対策技術を開発
- 文字列操作の誤りを修正する世界初の技術を実現
- 専門知識不要で開発段階での修正が可能に
スポンサーリンク
NTTと早稲田大学が文字列操作の誤りを修正する技術を世界初開発
NTTと早稲田大学は2024年10月28日に情報漏えいやサービス停止の原因となるインジェクション攻撃による被害を防ぐための新技術を発表した。ソフトウェアを構成するプログラム中の文字列関数を用いた文字列操作の誤りを修正する世界初の技術であり、米国カリフォルニア州サクラメントで開催されるIEEE/ACM ASE 2024で発表される予定だ。[1]
本技術は専門知識を持たないソフトウェア開発者でも正規表現に起因する文字列操作の誤りの修正が開発段階で容易に行えるようになった。サービスの運用段階におけるソフトウェアの誤りの修正には多大なコストがかかっていたが、開発段階で誤りが修正できることでコストの軽減と安全なサービスの実現が期待できる。
新技術では、プログラム中の文字列関数を使った文字列操作の誤りをソフトウェア開発者が与える入出力例を基に修正することを可能とした。正規表現を含む文字列操作にまで修正対象を広げることができ、修正結果に誤りがないことを保証する技術となっている。
インジェクション攻撃対策技術の特徴まとめ
| 項目 | 詳細 |
|---|---|
| 技術開発 | NTTと早稲田大学による世界初の実現 |
| 主な特徴 | 文字列操作の誤りを開発段階で修正可能 |
| 対象範囲 | 正規表現を含む文字列操作全般 |
| 期待効果 | 修正コストの軽減と安全なサービスの実現 |
スポンサーリンク
インジェクション攻撃について
インジェクション攻撃とは、サーバなどへの攻撃手法の一つで、データベースに対して不正な入力情報を送信して予期しない動作を引き起こす攻撃のことを指す。主な特徴として以下のような点が挙げられる。
- プログラム中の文字列操作の誤りが主な原因
- 情報漏えいやサービス停止のリスクが高い
- セキュリティ上の重大な脅威となっている
インジェクション攻撃は文字列関数を利用した文字列操作の際に発生する可能性が高く、専門的な知識がないと適切な対策が困難である。WebサイトのフォームにユーザーがWebブラウザ経由で入力した情報をWebサイト側で加工処理する際にも発生する可能性があり、多くのサービスにとって重大なリスク要因となっている。
参考サイト
- ^ NTT. 「インジェクション攻撃による被害を防ぐためのソフトウェア修正技術を世界にさきがけて実現 専門知識を持たない開発者でもソフトウェア開発段階で文字列操作の誤りを容易に修正 | ニュースリリース | NTT」. https://group.ntt/jp/newsrelease/2024/10/28/241028a.html, (参照 24-10-29).
※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。
- 【CVE-2024-50025】Linux Kernelに新たな脆弱性、サービス運用妨害のリスクが発生
- 【CVE-2024-49942】Linux Kernelに深刻な脆弱性、NULLポインタデリファレンスによるDoS攻撃のリスクが浮上
- 【CVE-2024-49976】Linux Kernelにリソースロックの脆弱性、DoS攻撃のリスクに対応急ぐ
- 【CVE-2024-49941】Linux Kernel 6.9-6.11.3でNULLポインタデリファレンスの脆弱性が発見、DoS攻撃のリスクに
- 【CVE-2024-50026】Linux Kernelに深刻な脆弱性、複数バージョンでサービス運用妨害のリスク
- 【CVE-2024-50029】Linux Kernel 6.1以上に発見された解放済みメモリ使用の脆弱性、情報漏洩やDoSのリスクに警戒
- 【CVE-2024-50044】Linux KernelのRFCOMMにデッドロック脆弱性、広範なバージョンに影響
- 【CVE-2024-50027】Linux Kernelにメモリ解放後使用の脆弱性、サービス運用妨害のリスクに早急な対応が必要
- 【CVE-2024-50024】Linux Kernelに深刻な脆弱性、複数バージョンでDoS攻撃のリスクが判明
- 【CVE-2024-49986】Linux Kernelに深刻な脆弱性、解放済みメモリ使用の問題で情報漏洩やDoS攻撃のリスクが浮上
スポンサーリンク
