インジェクション攻撃による被害を防ぐためのソフトウェア修正技術を世界にさきがけて実現 ～専門知識を持たない開発者でもソフトウェア開発段階で文字列操作の誤りを容易に修正～

発表のポイント：

ソフトウェアの脆弱性を悪用した攻撃の中でも重大な脅威とされているインジェクション攻撃の主要な原因とされている文字列操作の誤りを修正する技術を開発しました。
この技術により、専門知識を持たないソフトウェア開発者でも正規表現に起因する文字列操作の誤りの修正が開発段階で可能となりました。
サービスの運用段階におけるソフトウェアの誤りの修正には多大なコストがかかりますが、この成果により、開発段階で誤りが修正できるため、コストの軽減と安全なサービスの実現が期待されます。

　日本電信電話株式会社（本社：東京都千代田区、代表取締役社長：島田　明、以下「NTT」）と学校法人早稲田大学（本部：東京都新宿区　理事長：田中愛治　以下、「早稲田大学」）は、情報漏洩やサービス停止の原因となり得るインジェクション攻撃による被害を防ぐための、ソフトウェアを構成するプログラム中の文字列関数を用いた文字列操作の誤り（バグ）を修正する技術を世界で初めて実現しました。　
　ソフトウェアの脆弱性を悪用した最も大きな脅威の１つであるインジェクション攻撃は、プログラム中の文字列操作の誤りが主要な原因であることが知られています。本技術により、専門知識を持たないソフトウェア開発者でも容易に文字列操作の誤りを開発段階で修正することが可能となります。サービスの運用段階におけるソフトウェアの誤りの修正には多大なコストがかかりますが、開発段階で誤りが修正できるため、コストの軽減と安全なサービスの実現が期待できます。
　本技術の詳細は、米国カリフォルニア州サクラメントにて開催されるソフトウェア工学分野の最難関国際会議IEEE/ACM ASE 2024（※1）にて2024年10月30日（米国時間）に発表します。

1．背景
　ソフトウェアの脆弱性を悪用した攻撃は現代社会における重大な脅威です。最も大きな脅威の１つにインジェクション攻撃があります。インジェクション攻撃は、サーバなどへの攻撃手法のひとつで、サーバで利用しているデータベースなどに対して不正な入力情報を送信して、予期しない動作を引き起こします。この攻撃をもたらす欠陥はインジェクション脆弱性と呼ばれ、プログラム中の文字列操作の誤り（バグ）が主な原因であることが知られています。
　ソフトウェアを構成するプログラム中で文字列操作を記述する際には文字列関数が利用されます。文字列関数は多くのプログラミング言語で提供されており、文字列の抽出・置換検索などの文字列操作を記述するために頻繁に利用されています。
　しかし、文字列関数を利用して文字列操作を行う際には文字列関数が利用する正規表現（※2）やその他の入力情報、文字列関数自体の仕様に関する専門的な知識が要求され、適切に記述することは難しいことが知られています。
　文字列操作を伴うプログラムはさまざまなソフトウェアで幅広く利用され、WebサイトのフォームにユーザがWebブラウザ経由で入力した情報をWebサイト側で加工処理するなど多くのサービスを実現しています。文字列操作に誤りがあるとサービスの誤動作を引き起こし、情報漏洩やサービス停止の原因となる場合があり、サービスの運用段階におけるソフトウェアの誤りの修正には多大なコストがかかります。また、この誤動作を意図的に起こそうとするサイバー攻撃も顕在化しており、安全なサービスの実現を脅かすリスク要因となっています。