米国DARPAがツール提供、ファイルフォーマットの脆弱性を軽減する「ドキュメントセキュリティ」とは?「SafeDocs」プログラムの成果、PDF Associationと協業

DARPAは、Safe Documentsプログラムの成果として、人々が安全であることを確信してドキュメントを開き、画面に表示されるまでのプロセスを信頼できるようにする新しい方法とツールを開発した。

» 2023年06月19日 08時00分 公開
[@IT]

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

 DARPA(Defense Advanced Research Projects Agency:米国国防省国防高等研究計画局)は2023年6月14日(米国時間)、同局のSafe Documents(SafeDocs)プログラムの研究者が、人々が安全であることを確信してドキュメントを開き、画面に表示されるものを信頼できるようにするドキュメントセキュリティ向上のための新しい方法とツールを開発したと発表した。

 人々の仕事はさまざまなドキュメントに依存しているが、悪意ある構造を含むドキュメントが、政府機関や民間企業におけるデータ侵害の大きな原因の一つとなっている。ドキュメントの直接的な提供者を認証できても、そのコンテンツが信頼できないソースに由来し、悪意あるデータペイロードを含んでいる可能性があるからだ。

 SafeDocsプログラムの研究者は、「ドキュメントのファイルフォーマットは非常に複雑であり、それが曖昧さを招き、そこから混乱や誤解、さらにはさまざまな解釈の余地が生じることが、ファイルフォーマットの脆弱(ぜいじゃく)性につながっている」との認識を示している。

 そこで研究者は、ファイルフォーマットの複雑さや曖昧さに対処するため、電子データフォーマットを、人間が理解でき、機械が読めるように記述するための方法とツールを開発した。

 安全が検証された脆弱性スキャナーを開発するための自動ソフトウェア構築キットも開発した。同キットは、既存フォーマットに内在する複雑さや曖昧さを軽減し、安全性を確保できるように簡略化されたフォーマットサブセットが使用された。

 SafeDocsプログラムの研究者は、スキャナー開発を支援することで、電子データフォーマットの中核機能に影響を与えることなく、不正な悪意あるデータを拒否するソフトウェアの能力を抜本的に向上させたとしている。

 さらに、研究者が開発したツールは、電子ドキュメントの履歴を保存し、機能豊富な電子ドキュメントを有効に存続させていく上でも役立っているという。

 DARPAの情報イノベーション室SafeDocsプログラムマネジャーを務めるサーゲイ・ブラタス氏は、「現在、電子データはサイバー攻撃の対象の一つとなっている。攻撃者は、ドキュメントのフォーマットルールの過剰な複雑さと曖昧さを悪用して、悪意あるペイロードをドキュメントに埋め込み、スキャンをすり抜けさせている」と説明している。

SafeDocsプログラムの研究者は、ドキュメントの悪意ある要素を検出、除去するスキャナーの自動構築キットを開発した(提供:DARPA) SafeDocsプログラムの研究者は、ドキュメントの悪意ある要素を検出、除去するスキャナーの自動構築キットを開発した(提供:DARPA)

PDF Associationとの協業

 DARPAは、PDFの仕様が複雑で、時に曖昧であり、実装が多様であることから、PDF Associationと協力し、「コンピュータがドキュメントフォーマットを推論し、自動生成されたスキャナーを用いて悪意ある要素を排除し、曖昧さによる混乱を回避するのに役立つ、曖昧さのない定義を作成する」という課題に取り組んだ。

 ブラタス氏は、この取り組みがさまざまな成果をもたらしたと紹介した上で「DARPAとPDF Associationは、標準化団体がソフトウェア仕様や標準策定プロセスを再定義するのを支援しており、この活動は、データ侵害による生産性の低下を数十億ドル軽減する可能性がある」と述べている。

ドキュメントを超えて、さまざまなフォーマットの設計改善へ

 ブラタス氏は、SafeDocsのソリューションをドキュメントだけでなく、他のファイルフォーマットにも適用する構想を描いている。その中には、自動車の運転や軍事システムの操作、ストリーミングビデオなどに使われるファイルフォーマットが含まれる。

 「あらゆるデーフォーマットをSafeDocsツールで設計できれば、悪意あるデータを仕込む攻撃に対するシステムの脆弱性を、大幅に軽減できるだろう」(ブラタス氏)

 そのため、DARPAはOpen Groupのセンサーオープンシステムアーキテクチャ(SOSA)コンソーシアムや、米国国立公文書記録管理局(NARA)の電子記録処理部門など、政府関連パートナーへのツールの移転に取り組んでいる。

現在利用可能なSafeDocsツールは?

 SafeDocsプログラムの研究者によると、以下のツールやリソースは、ソフトウェア開発者やサイバーセキュリティ/プライバシー研究者が、電子ドキュメントの取り扱いに関する自組織のセキュリティ態勢を改善するのに役立つ。それぞれ1〜4つのアイテムが挙げられている。

  • PDFのためのリソース
  • データフォーマットの記述と解析コードの自動生成のためのプログラマー向けリソース
  • ドキュメントコレクションとフォーマットルールを理解するためのツール
  • 既存の解析コードの動作を理解するためのツール

Copyright © ITmedia, Inc. All Rights Reserved.

スポンサーからのお知らせPR

注目のテーマ

Microsoft & Windows最前線2025
AI for エンジニアリング
ローコード/ノーコード セントラル by @IT - ITエンジニアがビジネスの中心で活躍する組織へ
Cloud Native Central by @IT - スケーラブルな能力を組織に
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

@ITについて

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。