ニュース
» 2020年12月18日 16時00分 公開

不適切なsyscallアクセスを防ぐ:面倒なアクセス制御を自動化、米大学がポリシーの自動作成ツールを開発

ミシガン大学とテキサス大学オースティン校の研究チームはOSや他のプログラムを危険にさらすことのないように、アプリケーションのポリシーを自動的に作成するツール「Abhaya」を開発した。脆弱性を突いたサイバー攻撃に対応できる。

[@IT]

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

 ミシガン大学は2020年11月17日(米国時間)、同大学のXinyu Wang教授がテキサス大学オースティン校との合同の研究チームにおいて、アプリケーションに向けたシステムコール(syscall)ポリシーの自動作成ツールを開発したと発表した。成果とまとめた論文は「2020 Object-Oriented Programming Systems, Languages and Applications Conference」(OOPSLA 2020)で優秀論文賞を受賞した。

 サンドボックス化はアプリケーションを重要なシステムリソースや他のプログラムから隔離するソフトウェア管理方法だ。サンドボックス化によって追加されたセキュリティレイヤーは、マルウェアや有害なアプリケーションがシステムに悪影響を与えるのを防ぎ、あるコンポーネントの脆弱(ぜいじゃく)性が別のコンポーネントを侵害するために悪用されないように働く。

 一般的なサンドボックスアプローチは、さまざまなアプリケーションが発行できるシステムコールの種類を制限することだ。サイバー攻撃では一般的に、システムを侵害している間に特殊なシステムコールを発行するからだ。システムコールポリシーを定義し、どのアクセスパターンが可能なのかを指定できる(SELinuxのような)フレームワークを備えるOSは少なくない。このルールを破ったアプリケーションは、速やかに停止される。

 これらのフレームワークはシステムの攻撃対象領域を大幅に縮小する。だが、フレームワークのポリシーを手動で作成するのは時間がかかり、ミスが起こりやすい。その結果、多くのアプリケーションが、システムコールサンドボックスを使用していない。信頼できないユーザー入力も受け入れる一部のアプリケーションもその一例だ。

なぜサンドボックスが使われないのか

 論文ではシステムコールサンドボックスがほとんど使われていない理由を3つ挙げている。

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。