TokyoBlackHatNews

infosecurity-magazine.com 4分で読了

ホワイトハウス、テック業界にメモリ安全性の脆弱性排除を要請

ホワイトハウスはテック業界に対し、メモリ安全なプログラミング言語を採用し、ハードウェアおよびソフトウェアからメモリ安全性の脆弱性の大半を排除するよう求めた。

国家サイバー局(ONCD:Office of the National Cyber Director)の報告書は、メモリ安全性の脆弱性がバグの分類の中でも「最も蔓延している」ものの一つであると指摘した。

業界分析によれば、メモリ安全でない言語における、修正されCVE指定が付与されたセキュリティ脆弱性の最大70%は、メモリ安全性の問題に起因することが判明している。

ONCDは、ソフトウェアおよびハードウェアの開発者がメモリ安全な言語を実装するのに最も適した立場にあるとし、これは多くの状況でソフトウェアセキュリティを大幅に改善できるスケーラブルな方法だと述べた。

報告書は次のように述べている。「コードを1行ずつ書くプログラマーの行為は無影響ではない。彼らが仕事を進める方法は、国益にとって極めて重要である。」

メモリ安全なプログラミング言語を実装する方法

メモリ安全性の脆弱性は、メモリへのアクセス、書き込み、割り当て、または解放の方法に影響する。

それらは大きく2つのカテゴリに分けられる。

  • 空間(Spatial): メモリ内の変数やオブジェクトに対して設定された「正しい」境界の外側でメモリアクセスが行われることにより生じる問題
  • 時間(Temporal): 解放後のオブジェクトデータにアクセスする場合や、メモリアクセスが予期せず交錯する場合など、時間や状態の範囲外でメモリにアクセスすることで発生する脆弱性

ONCDは、重要システム全体で広く普及している多くのプログラミング言語がメモリ安全性の問題を起こしやすいことを強調し、C言語およびC++言語を例に挙げた。

報告書によれば、利用可能なメモリ安全なプログラミング言語は「数十」ある。

報告書 は、ハードウェア構築時に有効なメモリ保護として、チップおよびCapability Hardware Enhanced RISC Instructions(CHERI)を挙げた。

これらはアーキテクチャ上の判断としてソフトウェアに組み込むべきだという。既存のコードベースであっても、「メモリ安全なプログラミング言語の採用に向けた道筋は依然として存在する」としている。

技術セキュリティ担当の国家サイバー局次長補(Assistant National Cyber Director)であるAnjana Rajan氏は次のようにコメントした。「歴史上最も悪名高いサイバー事案のいくつか――1988年のMorrisワーム、2003年のSlammerワーム、2014年のHeartbleed脆弱性、2016年のTridentエクスプロイト、2023年のBlastpassエクスプロイト――はいずれも見出しを飾るサイバー攻撃であり、社会が日々依存しているシステムに現実世界の被害をもたらした。

「それらすべての根底には共通の原因がある。メモリ安全性の脆弱性だ。35年にわたり、メモリ安全性の脆弱性はデジタル・エコシステムを苦しめてきたが、必ずしもこうである必要はない。」

脆弱性低減に向けたステークホルダーの関与

ONCDはまた、ソフトウェアのサイバーセキュリティ品質を判断するための、より良い指標を開発するようテックコミュニティに促した。

これにより、組織は脆弱性が発生する前に発見したり、影響を軽減したりできるようになる。さらに、ホワイトハウスは、これが「エコシステム全体の行動変容」を促すインセンティブにもなると述べた。

報告書は、複雑なソフトウェア・エコシステムのためにこうした指標の作成が難しいことを認めつつも、ソフトウェアを測定する科学において研究コミュニティが重要な役割を担うとした。

国家サイバー局長のHarry Coker氏は次のように述べた。「また、もう一つの難題の解決に向けて、学術コミュニティと協力し、支援を呼びかけていることを嬉しく思う。すなわち、サイバーセキュリティ品質を測定するためのより良い診断手法を、どのように開発するかという問題だ。」

「これらの課題に取り組むことは、長期的にデジタル・エコシステムを安全に保ち、我が国の安全保障を守るために不可欠である。」

新たなONCDの文書は、2023年3月に公表された米政府の国家サイバーセキュリティ戦略の一部を成す。

同戦略は、市場の力を形成して「設計段階からのセキュリティとレジリエンス」を推進し、サイバーセキュリティの責任をテクノロジーの創り手へと移すことを目指している。

英国では、政府が支援するDigital Security by Design(DSbD)イニシアチブが現在、CHERIアーキテクチャを通じて基盤となるコンピュータハードウェアの安全確保に取り組んでおり、メモリ安全性および権限昇格の脆弱性の発生を防いでいる。

翻訳元: https://www.infosecurity-magazine.com/news/white-house-tech-memory/

ソース: infosecurity-magazine.com
#C++ #CHERI #C言語 #ONCD(国家サイバー局) #サイバーセキュリティ戦略 #セキュア・バイ・デザイン #ホワイトハウス #メモリ安全なプログラミング言語 #メモリ安全性 #脆弱性(CVE)

関連記事

Infosecurity Europe:NCSCが警告、不確実性が続く今こそレジリエンス強化に向けた即時行動を

Infosecurity Europe:AIを活用しないサイバーセキュリティチームは「失敗する運命にある」

Infosecurity Europe:バイエル、AI脅威に対抗するためセキュリティ意識向上トレーニングを刷新