三田

  • 印刷
「ファジング」の仕組み
拡大
「ファジング」の仕組み
理工学部の石浦菜岐佐教授
拡大
理工学部の石浦菜岐佐教授

 システムへの不正アクセスによって個人情報が流出したという記事をよく見ます。情報化社会において、情報セキュリティーは大きな課題になっています。

 システムへの攻撃法にはローテクからハイテクまでさまざまなものがあります。意外に有効なのが「あなたのアカウントがロックされたので再認証が必要です」のようなメールを送り、偽サイトで認証情報を盗むローテク手法です。これは個人の注意によって防げます。しかし、プログラムのセキュリティー欠陥を突くハイテク攻撃は個人の注意だけでは防ぎきれません。

 プログラムにミスはつきものなので、それをなくすために考えられる限りの場合を想定した徹底的なテストが行われます。しかし、セキュリティーの欠陥はその想像を超えたところにあります。

 古典的な例では、ウェブサイトのユーザー認証画面で、メールアドレス欄に「A」を7万個入れるとシステムがダウンするというものがありました。不正な入力をはじくガードが欠如していたのですが、そんな入力には思いが至らなかったわけです。

 入力データがプログラムの複雑な動作に作用する場合、何が起こるかの想定が極めて困難になります。ガードが甘ければ、メールアドレス欄に特殊な文字列を入れるとデータベースからクレジットカード情報を盗み出せてしまいます。画像データの一部を書き換えることで、画像表示アプリに意図しない動作をさせることも可能になってしまうのです。

 攻撃者はそのようなプログラムの欠陥をどうやって見つけるのでしょうか?

 代表的な手法が「ファジング」です。原理は単純で、ランダムなデータを次々に自動生成してプログラムに入力して異常が起こらないかを観測するというものです=図。これを何百台のコンピューターを使って何カ月も繰り返します。これは、攻める側だけでなく守る側にとっても必要な技術です。

 2000年代初頭には、この方法でプログラムのセキュリティー欠陥が次々に発見されました。現在ではガードが非常に堅くなっているため、その分ファジング技術も高度化していて、ここに人工知能技術が使われ始めています。

 私の研究室ではテーマの一つとして、システムプログラムのファジングの研究をしています。原理は単純ですが、欠陥検出のためにはコンピューターのハードウエアからプログラミング、人工知能にわたる幅広い知識と技術が必要です。

 この研究を通じて、学生たちは日々研さんを積んでいるところです。

三田の最新
もっと見る

天気(9月24日)

  • 28℃
  • 24℃
  • 40%

  • 28℃
  • 22℃
  • 40%

  • 28℃
  • 23℃
  • 30%

  • 31℃
  • 23℃
  • 30%

お知らせ