検索
ニュース

米国DARPAがツール提供、ファイルフォーマットの脆弱性を軽減する「ドキュメントセキュリティ」とは?「SafeDocs」プログラムの成果、PDF Associationと協業

DARPAは、Safe Documentsプログラムの成果として、人々が安全であることを確信してドキュメントを開き、画面に表示されるまでのプロセスを信頼できるようにする新しい方法とツールを開発した。

Share
Tweet
LINE
Hatena

 DARPA(Defense Advanced Research Projects Agency:米国国防省国防高等研究計画局)は2023年6月14日(米国時間)、同局のSafe Documents(SafeDocs)プログラムの研究者が、人々が安全であることを確信してドキュメントを開き、画面に表示されるものを信頼できるようにするドキュメントセキュリティ向上のための新しい方法とツールを開発したと発表した。

 人々の仕事はさまざまなドキュメントに依存しているが、悪意ある構造を含むドキュメントが、政府機関や民間企業におけるデータ侵害の大きな原因の一つとなっている。ドキュメントの直接的な提供者を認証できても、そのコンテンツが信頼できないソースに由来し、悪意あるデータペイロードを含んでいる可能性があるからだ。

 SafeDocsプログラムの研究者は、「ドキュメントのファイルフォーマットは非常に複雑であり、それが曖昧さを招き、そこから混乱や誤解、さらにはさまざまな解釈の余地が生じることが、ファイルフォーマットの脆弱(ぜいじゃく)性につながっている」との認識を示している。

 そこで研究者は、ファイルフォーマットの複雑さや曖昧さに対処するため、電子データフォーマットを、人間が理解でき、機械が読めるように記述するための方法とツールを開発した。

 安全が検証された脆弱性スキャナーを開発するための自動ソフトウェア構築キットも開発した。同キットは、既存フォーマットに内在する複雑さや曖昧さを軽減し、安全性を確保できるように簡略化されたフォーマットサブセットが使用された。

 SafeDocsプログラムの研究者は、スキャナー開発を支援することで、電子データフォーマットの中核機能に影響を与えることなく、不正な悪意あるデータを拒否するソフトウェアの能力を抜本的に向上させたとしている。

 さらに、研究者が開発したツールは、電子ドキュメントの履歴を保存し、機能豊富な電子ドキュメントを有効に存続させていく上でも役立っているという。

 DARPAの情報イノベーション室SafeDocsプログラムマネジャーを務めるサーゲイ・ブラタス氏は、「現在、電子データはサイバー攻撃の対象の一つとなっている。攻撃者は、ドキュメントのフォーマットルールの過剰な複雑さと曖昧さを悪用して、悪意あるペイロードをドキュメントに埋め込み、スキャンをすり抜けさせている」と説明している。

SafeDocsプログラムの研究者は、ドキュメントの悪意ある要素を検出、除去するスキャナーの自動構築キットを開発した(提供:DARPA)
SafeDocsプログラムの研究者は、ドキュメントの悪意ある要素を検出、除去するスキャナーの自動構築キットを開発した(提供:DARPA)

PDF Associationとの協業

 DARPAは、PDFの仕様が複雑で、時に曖昧であり、実装が多様であることから、PDF Associationと協力し、「コンピュータがドキュメントフォーマットを推論し、自動生成されたスキャナーを用いて悪意ある要素を排除し、曖昧さによる混乱を回避するのに役立つ、曖昧さのない定義を作成する」という課題に取り組んだ。

 ブラタス氏は、この取り組みがさまざまな成果をもたらしたと紹介した上で「DARPAとPDF Associationは、標準化団体がソフトウェア仕様や標準策定プロセスを再定義するのを支援しており、この活動は、データ侵害による生産性の低下を数十億ドル軽減する可能性がある」と述べている。

ドキュメントを超えて、さまざまなフォーマットの設計改善へ

 ブラタス氏は、SafeDocsのソリューションをドキュメントだけでなく、他のファイルフォーマットにも適用する構想を描いている。その中には、自動車の運転や軍事システムの操作、ストリーミングビデオなどに使われるファイルフォーマットが含まれる。

 「あらゆるデーフォーマットをSafeDocsツールで設計できれば、悪意あるデータを仕込む攻撃に対するシステムの脆弱性を、大幅に軽減できるだろう」(ブラタス氏)

 そのため、DARPAはOpen Groupのセンサーオープンシステムアーキテクチャ(SOSA)コンソーシアムや、米国国立公文書記録管理局(NARA)の電子記録処理部門など、政府関連パートナーへのツールの移転に取り組んでいる。

現在利用可能なSafeDocsツールは?

 SafeDocsプログラムの研究者によると、以下のツールやリソースは、ソフトウェア開発者やサイバーセキュリティ/プライバシー研究者が、電子ドキュメントの取り扱いに関する自組織のセキュリティ態勢を改善するのに役立つ。それぞれ1〜4つのアイテムが挙げられている。

  • PDFのためのリソース
  • データフォーマットの記述と解析コードの自動生成のためのプログラマー向けリソース
  • ドキュメントコレクションとフォーマットルールを理解するためのツール
  • 既存の解析コードの動作を理解するためのツール

Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

  1. 1年前と比べて1Tbpsを超えるDDoS攻撃が1885%増加、今すぐできる対策は? Cloudflare
  2. 米ホワイトハウス、“懸念国”への半導体輸出、AI規制を発表 日本含む18カ国は規制対象外
  3. 終わらせましょう。複雑過ぎるKubernetes/クラウドネイティブが生む心理的安全性の低下を――無料でクラウドセキュリティの勘所が分かる130ページの電子書籍
  4. 「SMSは認証に使わないで」 米CISA、モバイル通信を保護する8つのベストプラクティスを公開
  5. 「Appleの暗号化アルゴリズム」を盗用し、2カ月以上検出されなかったステルス型マルウェアの正体とは
  6. Google Cloud、2025年のサイバーセキュリティ予測を発表 AIがサイバー攻撃にもたらす影響とは?
  7. 経営層の約7割が「セキュリティ対策は十分」一方で6割以上がインシデントを経験、1位の要因は?
  8. “ゼロトラスト”とトラスト(信頼性)ゼロを分かつものとは――情報セキュリティ啓発アニメ「こうしす!」監督が中小企業目線で語る
  9. 2025年に押さえるべきセキュリティの重要論点をガートナーが発表 新しいリスク、脅威、環境の変化、法規制などの動きを把握する指標に使える
  10. よく聞く「複雑化するサイバー攻撃」は具体的にどう複雑なのか? 一例を医療系企業のランサム事例とともに解説
ページトップに戻る