31

Mar

ReDoS脆弱性を自動修正する技術、NTTと早稲田大が「世界に先駆けて」開発

NTT(持ち株会社)と早稲田大学は3月23日、プログラムの脆弱性の一つ「ReDoS脆弱性」を自動修正する技術を、世界に先駆けて開発したと発表した。専門知識のない開発者でも、ReDoS脆弱性を容易に修正できるという。 正規表現とは、特定の文字列をルールに基づき簡略化して表現する方法で、ほとんどのプログラミング言語に組み込まれている。Webサービスなどで、ユーザの入力値が期待したものかを検証するなど幅広い場面で利用されている。 ただ、検証すべき文字列が厳密に定義できていないと、脆弱性になってしまう。処理時間が長くなる入力を与えて計算リソースを消費し、負荷を大幅に増大させる攻撃が可能になるためだ。 ReDoS脆弱性が原因で商用のサービスが停止するインシデントはここ数年でたびたび発生しているという。 新技術では、ReDoS脆弱性がないことを保証するため、正規表現の書き方から曖昧さを排除し、任意の文字列に対してパターンマッチの方法を一意に定める条件を定義。それに合う修正正規表現を出力させることにより、出力結果に理論的にReDoS脆弱性がないことを保証する。 NTTが、実世界の正規表現におけるReDoS脆弱性の定義や修正問題の定義、修正アルゴリズムを考案。その手法の理論的な正確さを、早稲田大学理工学術院の寺内多智弘教授が検証した。 新技術は、2022年5月22~26日に開催されるセキュリティとプライバシー分野の国際会議「IEEE S&P 2022」で発表する。

ITmedia NEWS

 ReDoS脆弱性を自動修正する技術、NTTと早稲田大が「世界に先駆けて」開発