- 著者
-
大山 恵弘
甲斐 朋希
- 出版者
- 一般社団法人電子情報通信学会
- 雑誌
- 電子情報通信学会技術研究報告. SITE, 技術と社会・倫理 (ISSN:09135685)
- 巻号頁・発行日
- vol.111, no.124, pp.231-237, 2011-07-05
プログラムを解析して潜在的な脆弱性を検出する脆弱性検査ツールが多数開発されている.脆弱性検査ツールは,通常,脆弱性を早期に検出して攻撃前にプログラムを修正するという良い目的に利用される.しかし,悪意の者が,攻撃可能な脆弱性を効率的に発見する用途に悪用することもできる.ツールを用いた攻撃者による脆弱性発見を妨害する技術があれば,攻撃を成功させるコストが上がり,攻撃を減らせる可能性がある.本論文では,脆弱性検査ツールによる脆弱性発見を妨害する方式を提案する.その方式は,ソースプログラムを変換して,脆弱性検査ツールが検出するが攻撃には利用できないバグを大量に含ませる.例えば,バッファオーバーフローを起こすが攻撃者が制御を奪えないバグを含むコードを加える.加えられたバグに対して脆弱性検査ツールは大量の警告を出すため,真の脆弱性がもしあったとしても,より目立たなくなる.