調査・研究経過の報告書を説明
「分断していては攻撃者の思うつぼ」とJPCERT/CC
2008/07/07
JPCERT/CCは7月7日、2007年度の調査・研究結果をまとめた報告書に関する説明会を開催した。
JPCERT/CCは6月25日に、「ソースコード解析ツールを活用したCERTセキュアコーディングルールの有効性評価(英語版)」を公開した。安全なソフトウェアを開発するためのコーディング規約を、既存のソースコード解析ツールに適用し、エラー検出を行った結果をまとめたものだ。はじめから脆弱性を作り込まないようなルールを定め、それに沿った検証を実施することで、ソフトウェア品質の底上げを狙う試みである。
JPCERT/CCではこれに先立ち、米CERT/CCと共同で、脆弱性につながるような欠陥やエラーを作り込まないようにするコーディング規約「CERT C/C++ セキュアコーディングスタンダード(英語版)」をまとめている。文字列や整数の取扱い、配列の使い方などについて、バッファオーバーフローなどのセキュリティホールを作り込まないための規約を定めたもので、C言語用に181種類、C++言語用に101種類のルール/レコメンデーション(ガイドライン)をまとめた。
公表された報告書では、セキュアコーディングスタンダードの中から特に重要なものを抜き出し、「Fortify SCA」「Compass/ROSE」という2つのソースコード解析ツールに実装し、どの程度、ソースコード品質を改善できるかを検証した。SRAが協力し、ETC関連プロジェクトでC++言語の、IPTV関連プロジェクトでC言語のソースコード分析作業を実施したという。
この結果、C++言語の場合はFortifyで128個のエラーを検出(うち有効検出率は67%)、Compass/ROSEで200個(同27%。ただしソフトウェア障害に対処すれば70%に改善)。C言語のプロジェクトでは、Fortifyで408個のエラー(有効検出率47%)、Compass/ROSEで7個(同71%)というテスト結果が出た。これを踏まえてJPCERT/CCでは、「セキュアコーディングスタンダードをソースコード解析ツールに実装し、活用することで、脆弱性につながり得るプログラミングエラーの検出機能を向上できる」としている。
「未知の脆弱性のことを考えると100%つぶせるとは言い切れないが、既知の、プログラミングに起因する脆弱性については解決できる」(JPCERT/CC 常務理事の早貸淳子氏)。
なお同時に公開された報告書としては、組み込み機器や制御系システムで利用されるソフトウェアの脆弱性についてまとめた「制御系プロトコルに関する調査研究報告書」と「国内の制御系システム、制御系プロトコルに関する調査報告書」、CSIRTの運用やインシデントハンドリングについてまとめた「CSIRTガイド」「インシデントハンドリングマニュアル」がある。
対応側の分断は「相手の思うつぼ」
早貸氏は併せて、最近のインシデントハンドリングの傾向についても解説した。
JPCERT/CC 常務理事 早貸淳子氏SQLインジェクション攻撃の増加が警告されている。同氏によると、事業者のサーバを攻撃し、直接情報を抜き取る従来型の攻撃に代わり、最近では、多数のサイトを攻撃してスクリプトを埋め込み、そこにアクセスしてきたエンドユーザーを悪意あるサイトに誘導する手口が主流になっている。
この方法では、数千、数万といった規模の多数のサイトが悪用されているだけに、個別に脆弱性を通知し、修正を進める従来のアプローチでは対処が難しい。海外のCSIRTなどと連携し、大元の有害サイトを停止させる方法が有効だという。「ただ、そうした依頼を行うには、どれだけ被害が出ており、攻撃の解析結果がどうなっているかといった証拠が必要だ」(早貸氏)。そういった証拠を集めるためにも、「ぜひ不正プログラムの検体やスクリプトが埋め込まれているWebサイトがあるといった情報を寄せてほしい」と同氏は述べた。
「検体などの情報を教えてもらえれば、元(の悪意あるサイト)を倒しに行ける。それが、ほかのたくさんのサイトやユーザーに寄与することにもなる。攻撃者側が連携しているのに、対応する側のリソースが分断しているのは、攻撃者の思うつぼだ」(早貸氏)
関連リンク
関連記事
情報をお寄せください:
- この脆弱性対策エンジンは“永遠に完成しない” (2010/3/9)
パターンファイルに頼らず防御する「要の技術」は、いまも完成にはいたっていない。その理由とは―― - Gumblarがあぶり出す 「空虚なセキュリティ対策」 (2010/3/1)
ガンブラーの脅威は、組織の構造や外部委託問題をあぶり出します。そのセキュリティ対策、建前論になっていませんか? - 決済アプリのセキュリティ基準、PA-DSSとは (2010/2/24)
“ペイメントアプリケーション”のセキュリティ基準を定めたPA-DSS。厳密に定められた14の要件を、PCI DSSと対比させつつ解説します - 「鍵は“J”の中にあるよ」CTF by ダークナイト解答編 (2010/2/22)
ダークナイトからの挑戦状、いかがだっただろうか。WiresharkにNetworkMiner、WinRARを駆使し、“J”に隠された秘密を解き明かせ!
 |
|
|
|
|
スポンサーからのお知らせ
- - PR -
 |
仮想環境の構築とデータ保護の特効薬?! 実績と信頼性の高いパッケージで安心運用 New! |
 |
仮想環境のバックアップもこれまでどおり 「まるごと取ってまるごと戻す」簡単運用 |
 |
おばかアプリ選手権、第4弾開催中!! ムダにカッコよくてくだらない作品求ム! |
 |
社内ファイルサーバを“クラウド”に統合 VPN直結「クラウド型ストレージ」を紹介 |
 |
その数、なんと400台以上! グループ内 サーバの「統合管理」によるメリットは? |
 |
美人!? まあまあ? 気になる いやし系!! PV急増で「美人時計」がとった手段とは? |
 |
進化を続ける富士通ストレージETERNUS DX 製品開発者の自信を裏付けるものとは何か |
 |
運用管理の課題を“2つの観点”から分析 ユーザー満足度の高い「仮想環境」とは? |
- - PR -
お勧め求人情報
**先週の人気講座ランキング**
〜Java編〜
| ◆ | 上司や部下、部署内メンバーとの情報共有 を“ガラッ”と変えるコラボツールとは? New! |
| ◆ | おばかアプリ選手権、第4弾開催中!! ムダにカッコよくてくだらない作品求ム! |
| ◆ | 社内ファイルサーバを“クラウド”に統合 VPN直結「クラウド型ストレージ」を紹介 |
| ◆ | Twitterのアカウントはなぜ突破された? メールによる新手の攻撃手法とその対策 |
| ◆ | もう仮想化のお試しフェイズは終わりだ! Hyper-V 2.0が基幹システムも仮想化 |
| ◆ | 美人!? まあまあ? 気になる いやし系!! PV急増で「美人時計」がとった手段とは? |
| ◆ | クライアント企業から求められる人材 ⇒IT技術と経営戦略を併せ持つ「戦略家」 |
| ◆ | .NET編集長が実践する「技術情報検索術」 サンプル・コードを簡単に探す“技”は? |
| ◆ | 業務効率と情報セキュリティ対策を両立! 手間なく確実に機密情報を守る方法とは? |
| ◆ | 直属上司が海外にいるのエンジニアに見る 【実例】場所に捉われないワークスタイル |
| ◆ | 「仮想化工房」のマイスターが選んだのは VMware、Hyper-V、そしてVirtageだった! |
| ◆ | 進化を続ける富士通ストレージETERNUS DX 製品開発者の自信を裏付けるものとは何か |
| ◆ | 運用管理の課題を“2つの観点”から分析 ユーザー満足度の高い「仮想環境」とは? |
| ◆ | 【CTC事例】約30の基幹システムを統合! 膨大なバッジジョブを制御した方法は? |
| ◆ | 仮想化すればコストは削減できるか? 仮想化に必要な「3つの視点」を解説する |
| ◆ | その数、なんと400台以上! グループ内 サーバの「統合管理」によるメリットは? |
著作権はアイティメディア株式会社またはその記事の筆者に属します。(著作権について)
当サイトに掲載されている記事や画像などの無断転載を禁止します。
「@IT」「@IT自分戦略研究所」「@IT情報マネジメント」「JOB@IT」「@ITハイブックス」「@IT MONOist」「ITmedia」「誠」「BARKS」は、アイティメディア株式会社の登録商標です。
当サイトに関するお問い合わせは「@ITへのお問い合わせ」をご覧ください。