グーグル、AIを使い20年以上存在した重大なセキュリティ上の問題を発見 [3for7E★] (3)

←← 掲示板一覧に戻る ← スレッド一覧に戻る

Chromeブラウザの脆弱性が見つかったり、Gmailユーザーが攻撃を受けたりするたびに、グーグルのセキュリティ対策の不備を批判するのは簡単だ。しかし、実際のところグーグルはセキュリティ研究の最前線に立っており、これらの脆弱性の多くはグーグルの高度に専門化されたチームによって発見されている。

たとえば、グーグルの「Threat Analysis Group（脅威分析グループ）」は、グーグル製品におけるゼロデイ脅威（ソフトウェアの未知の脆弱性を悪用した攻撃）を明らかにすることで知られており、「政府支援のハッキングやグーグルおよびそのユーザーに対する攻撃に対抗する」任務を持っている。また、「Jigsaw（ジグソー）ユニット」は「開かれた社会に対する脅威を探求する」役割を果たしている。

今回、新たにAIを防御に活用する能力を持つ別のセキュリティ専門家集団が加わった。それがグーグルの「OSS-Fuzzチーム」だ。彼らは、インターネットの多くのインフラを支える重要なOpenSSLライブラリ（インターネット通信の暗号化に広く使われるオープンソースの暗号化ライブラリ）を含む、26件の新たな脆弱性をオープンソースプロジェクトの管理者に報告した。

■AIで長年隠されていたセキュリティ上の脆弱性を発見

グーグルの大規模言語モデル（LLM）を用いたAI脆弱性検出エージェント「Big Sleep（ビッグスリープ）」が、広く使用されているゼロデイで悪用可能なメモリ安全性に関する未知の脆弱性を発見したことに続き、AIが主導するもう1つの重大なセキュリティ上の発見があった。

グーグルのオープンソースセキュリティチーム、オリバー・チャン、ドンゲ・リウ、ジョナサン・メッツマンによれば、今回発見された26件の新たな脆弱性はすべてAIによって発見されたもので、「自動化された脆弱性の発見におけるマイルストーンです」と述べている。特に重要なのは、インターネットインフラの多くを支えるOpenSSLライブラリにおけるCVE-2024-9143の脆弱性だ。研究者たちは「この脆弱性はおそらく20年間存在しており、人間が作成した既存のファズターゲットでは発見できなかったでしょう」と述べている。

https://forbesjapan.com/articles/detail/75282?module=toppage_new

このOpenSSLのCVEは、LLMが発見した重要なソフトウェアの脆弱性の1つだ。これはメモリの範囲外アクセスの問題で、アプリケーションのクラッシュを引き起こす可能性があり、米国のNational Vulnerability Database（国家脆弱性データベース）によれば、リモートコード実行のリスクもある。「この脆弱性を（米国時間）9月16日に報告し、修正は（同）10月16日に公開されました」とグーグルの研究者たちは述べている。

■自動的に脆弱性を発見し、悪用される前に対応するAI

AIを活用したファジング（ソフトウェアに無効またはランダムなデータを入力し、予期しない動作や脆弱性を発見するテスト手法）は、2023年8月16日にグーグルのOSS-Fuzzチームによって初めて発表された。このプロジェクトは、大規模言語モデルを活用してファジングのカバー範囲を向上させ、より多くの脆弱性を自動的に発見することを目指したものだ。特に重要なのは、自動的に脆弱性を発見し、悪意のある攻撃者によって悪用される前に対応することだ。

チームは「私たちのアプローチは、LLMのコーディング能力を用いてより多くのファズターゲット（テスト対象）を生成することであり、これらは脆弱性を探すために関連機能を実行するユニットテストに似ている」と述べている。

最終的な目標は、現在は手動で時間がかかるファズターゲットの開発プロセスを完全に自動化することだ。簡単に言えば、ファジングはシステムに無効またはランダムなデータを自動的に注入し、セキュリティ脆弱性を発見するソフトウェアテスト技術だ。決められたターゲットを使ったファジング自体は自動化されているが、ターゲットの開発はまだ自動化されていない。そこで、生成AIを用いたファズターゲットプロジェクトが登場する。

「私たちは、OSS-Fuzzが他の研究者がAI駆動の脆弱性発見のアイデアを評価するのに役立つことを望んでおり、最終的には脆弱性が悪用される前に防御者がより多くの脆弱性を発見することを可能にするツールになることを期待しています」とグーグルの研究者たちは述べている。

試みは評価するけどメモリ管理の脆弱性を見るたびにRustで作ってたら防げてたのかなと思う