検索
ニュース

面倒なアクセス制御を自動化、米大学がポリシーの自動作成ツールを開発不適切なsyscallアクセスを防ぐ

ミシガン大学とテキサス大学オースティン校の研究チームはOSや他のプログラムを危険にさらすことのないように、アプリケーションのポリシーを自動的に作成するツール「Abhaya」を開発した。脆弱性を突いたサイバー攻撃に対応できる。

Share
Tweet
LINE
Hatena

 ミシガン大学は2020年11月17日(米国時間)、同大学のXinyu Wang教授がテキサス大学オースティン校との合同の研究チームにおいて、アプリケーションに向けたシステムコール(syscall)ポリシーの自動作成ツールを開発したと発表した。成果とまとめた論文は「2020 Object-Oriented Programming Systems, Languages and Applications Conference」(OOPSLA 2020)で優秀論文賞を受賞した。

 サンドボックス化はアプリケーションを重要なシステムリソースや他のプログラムから隔離するソフトウェア管理方法だ。サンドボックス化によって追加されたセキュリティレイヤーは、マルウェアや有害なアプリケーションがシステムに悪影響を与えるのを防ぎ、あるコンポーネントの脆弱(ぜいじゃく)性が別のコンポーネントを侵害するために悪用されないように働く。

 一般的なサンドボックスアプローチは、さまざまなアプリケーションが発行できるシステムコールの種類を制限することだ。サイバー攻撃では一般的に、システムを侵害している間に特殊なシステムコールを発行するからだ。システムコールポリシーを定義し、どのアクセスパターンが可能なのかを指定できる(SELinuxのような)フレームワークを備えるOSは少なくない。このルールを破ったアプリケーションは、速やかに停止される。

 これらのフレームワークはシステムの攻撃対象領域を大幅に縮小する。だが、フレームワークのポリシーを手動で作成するのは時間がかかり、ミスが起こりやすい。その結果、多くのアプリケーションが、システムコールサンドボックスを使用していない。信頼できないユーザー入力も受け入れる一部のアプリケーションもその一例だ。

なぜサンドボックスが使われないのか

 論文ではシステムコールサンドボックスがほとんど使われていない理由を3つ挙げている。

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る