NTTと早稲田大学が、インジェクション攻撃を防ぐための新しいソフトウェア修正技術を開発。プログラムの文字列操作の誤りを自動修正し、開発コストの軽減や品質向上を目指す。
要約すると日本電信電話株式会社(NTT)と早稲田大学は、28日にインジェクション攻撃による情報漏えいやサービス停止を防ぐための新しいソフトウェア修正技術を発表しました。
この技術は、プログラム中の文字列操作に関する誤りを修正するもので、世界初の試みです。
インジェクション攻撃は、サーバーに不正な入力情報を送信することで発生し、主に文字列操作のバグが原因とされています。
プログラム内での文字列操作は、特に専門的な知識が必要で、誤りが生じるとサービスの誤動作や情報漏えいを引き起こす可能性があります。
これまでの研究では、正規表現に限定された脆弱性の修正に焦点を当てていましたが、今回の技術では、文字列関数を使った操作全般に対応できるようになりました。
具体的には、ソフトウェア開発者が提供する入出力例を基に、文字列操作の誤りを自動的に修正する方法を開発。
これにより、修正対象の文字列関数に対する期待される入出力例をより詳細に指定できるようになり、修正結果がすべての入出力例を満たすことを保証します。
この新技術は、修正コストの軽減やソフトウェア開発の品質向上に寄与することが期待されており、特にAIを用いたプログラム自動生成においても、その安全性の向上に貢献できるとされています。
今後は、文字列操作に伴う脆弱性を修正する技術のさらなる研究が進められる予定です。
参考リンクhttps://news.yahoo.co.jp/articles/f581ebb65fccaf2d094d9c1bf49eb74a5f9a6771