15 1 0 0 プログラミング言語に対するホモグリフ攻撃の実現可能性評価
- 著者
- 鈴木 宏彰 米谷 嘉朗 森 達哉
- 雑誌
- コンピュータセキュリティシンポジウム2019論文集
- 巻号頁・発行日
- vol.2019, pp.111-118, 2019-10-14
現代のプログラミング言語は国際化が進み,プログラミング言語の構文要素としても ASCIIで定義される文字集合「以外」の文字を使える規格が増えている.それらの規格では変数名や関数名などの識別子としてユニコードで定義された様々な文字を使うことができる.プログラミング言語で使用できる非 ASCII 文字集合の中には,アルファベットと外見上の見分けのつかない文字が存在する.例えば ASCII 文字集合に含まれる ‘a’ に対する,キリル文字の ‘а’ はその一例である.このように外見が類似した文字をホモグリフと呼ぶ.プログラムの変数名を構成する ASCII 文字を対応するホモグリフに置換すれば,ソースコードの外見を変えずに異なる挙動を示すプログラムを生成することができる.本研究はこのような背景のもと,非 ASCII 文字を識別子として用いることができるプログラミング言語,エディタや開発環境におけるユニコードで構成される構文要素の表示状況,非 ASCII 文字を識別子として用いているプログラムの例を調査する.また非ASCII 文字のホモグリフを悪用した「ホモグリフ攻撃」の実現可能性を評価する.
言及状況
Twitter (15 users, 20 posts, 31 favorites)
こういうコーディングスタイルが流行ってくれると、ホモグリフ攻撃が問題になる機運!
https://t.co/DYmpXdY1hb https://t.co/4qtUzRleQG
この論文に各言語の一覧があるな
プログラミング言語に対するホモグリフ攻撃の実現可能性評価
https://t.co/JhENJ7Z4dk
ホモグリフでソースコードに「見えない」脆弱性を入れる話。CSS2019で発表していたのだけど(下のリンク→コンセプト研究賞を受賞)、その後英語論文化できていない内に出しぬかれてしまった。成果はかっちり出しておかないといけないなぁと反省。
https://t.co/k4KPw3nrCd
https://t.co/DYmpXdFS33
On the Homoglyph Attack against Programming Languages "In this paper, we consider attack scenarios using such homoglyph features ... also employ user study to evaulate the feasibility of the homoglyph attack. " https://t.co/pVuZTQtojg
プログラミング言語に対するホモグリフ攻撃の実現可能性評価 「また非ASCII 文字のホモグリフを悪用した『ホモグリフ攻撃』の実現可能性を評価する.」 / 情報学広場:情報処理学会電子図書館 https://t.co/pVuZTQtojg
@hasegawayosuke 2年ほど前にソースの見た目を偽装してコードレビューをごまかせるかの研究を見かけたのを思い出しました
https://t.co/BkgmdhuyD4
去年、プログラミング言語内の識別子にユニコードを利用したホモグリフが潜む問題を指摘した論文(*1)を発表したのだけど、識別子にユニコードを実際に使っている例がここに(*2 殿堂入りウンコード)
(*)1 https://t.co/DYmpXdFS33
(*2)
https://t.co/82HiVIXPUm https://t.co/J5eEVAt0vJ
非アスキー文字を用いたプログラミングが流行ってきたら、ホモグリフ攻撃にご注意を。
https://t.co/XUYQLF8kNN https://t.co/ZWrN2NrwyA https://t.co/Zdd2BhrEOV