« 平成20年度春期情報処理技術者試験 | トップページ | 「セキュア・ジャパン2008」(案)、公開 »

2008年4月23日 (水)

「パッチから攻撃プログラムを自動生成」

日経ITproの記事「「パッチから攻撃プログラムを自動生成」、米研究者が実験に成功」からです。

この記事によると、

 セキュリティ組織の米サンズ・インスティチュートは2008年4月18日、米大学の研究者らが、修正パッチ(セキュリティ更新プログラム)から攻撃プログラム(エクスプロイト)を自動的に生成する手法を発表したと伝えた。同手法を用いれば、パッチの入手から数分で攻撃プログラムを生成できるという。

 ソフトメーカーが公開した修正パッチを解析(リバースエンジニアリング)して、そのパッチで修正される脆弱性を突くプログラムを作成するのは、攻撃者の常とう手段。最近では、パッチ公開から数日で攻撃プログラムが公開されるケースが増えている。現在は、攻撃者が人手でパッチの解析や攻撃プログラムの作成をしているものの、これらが自動化されれば、もっと短期間に攻撃プログラムが出現し、より危険な状況になると考えられる。

とのこと。

自動生成が可能ということになると、高いスキルをもっていない攻撃者でもエクスプロイトの生成が可能ということになります。(しかも、わずか数分で)
パッチの公開前に情報が入手されたりするリスクへの対策、リバースエンジニリアリング対策が、いままで以上に必要になってくるということでしょうか。

|

« 平成20年度春期情報処理技術者試験 | トップページ | 「セキュア・ジャパン2008」(案)、公開 »

ニュース」カテゴリの記事

コメント

コメントを書く



(ウェブ上には掲載しません)




トラックバック

この記事のトラックバックURL:
http://app.f.cocolog-nifty.com/t/trackback/98720/20466600

この記事へのトラックバック一覧です: 「パッチから攻撃プログラムを自動生成」:

« 平成20年度春期情報処理技術者試験 | トップページ | 「セキュア・ジャパン2008」(案)、公開 »