米ホワイトハウス「将来のソフトウェアはメモリ安全になるべき」と声明発表。ソフトウェアコミュニティに呼びかけ

今回は「米ホワイトハウス「将来のソフトウェアはメモリ安全になるべき」と声明発表。ソフトウェアコミュニティに呼びかけ」についてご紹介します。

関連ワード (セキュリティバグ、深刻、破壊等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、Publickey様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

米ホワイトハウスの国家サイバー局長室(The White House Office of the National Cyber Director:ONCD)は、サイバー空間における攻撃対象領域を積極的に削減する目的で、テクノロジー関連企業に対してメモリ安全なプログラミング言語を採用するように呼びかけるプレスリリース「Future Software Should Be Memory Safe」(将来のソフトウェアはメモリ安全になるべき)を発表しました。

fig

プレスリリースの中で、国家サイバー局長Harry Coker氏は「私たちは国家として、サイバースペースにおける攻撃対象領域を減らし、あらゆる種類のセキュリティバグがデジタルエコシステムに侵入するのを防ぐための能力と責任を担っています。そしてそれは、メモリ安全なプログラミングへの移行という、難しい問題に取り組む必要があることを意味します」 とコメントし、テクノロジーコミュニティ全体としてメモリ安全なプログラミングへ取り組むべきという方向性を示しました。

その背景には、これまで多くの深刻な脆弱性が、メモリ安全ではないことを原因としてきたためです。

同じくプレスリリースの中で、技術セキュリティ担当国家サイバー ディレクター補佐のAnjana Rajan氏は次のように説明しています。

「歴史上最も悪名高いサイバー空間上での出来事のいくつか 〜 1988年のMorrisワーム、2003年のSlammerワーム、2014年のHeartbleed脆弱性、2016年のTridentエクスプロイト、2023年のBlastpassエクスプロイトなどはいずれも突出したサイバー攻撃であり、日々において社会が現実に依存しているシステムに対する世界的な被害が発生しました。そしてこれらすべての根底にはメモリ安全における脆弱性という共通の原因がありました」

このプレスリリースと合わせて、ONCDはメモリ安全への取り組みを促進するためにプログラミング言語とソフトウェアの安全性の指標に関するレポート「Back to The Building Blocks」(PDF)も公開しています。

メモリ安全における脆弱性とは

メモリ安全(Memory Safe)における脆弱性についての説明は、2023年12月に米国家安全保障局が発表したプレスリリース「U.S. and International Partners Issue Recommendations to Secure Software Products Through Memory Safety」の説明が分かりやすいので引用します。

Memory safety vulnerabilities are coding errors affecting software’s memory management code in which memory can be accessed, written, allocated, or deallocated in unintended ways. Types of memory-related coding errors mentioned in the CSI include buffer overflow, use after free, use of uninitialized memory, and double free. Exploiting these vulnerabilities could allow malicious actors to access or corrupt data, or run arbitrary malicious code with the same privilege as the system owner.

メモリ安全性の脆弱性とは、ソフトウェアのメモリ管理コードに影響するコーディングエラーのことで、メモリが意図しない方法でアクセス、書き込み、割り当て、または割り当てが解除される可能性があることを指す。CSIで言及されているメモリ関連のコーディングエラーの種類には、バッファオーバーフロー、メモリ解放後の使用、初期化されていないメモリの使用、二重のメモリ解放などがある。これらの脆弱性を悪用することで、悪意のある行為者がデータにアクセスしたり、データを破壊したり、システム所有者と同じ権限で任意の悪意のあるコードを実行したりすることが可能になる。

そしてメモリ安全な言語の例としてC#、Go、Java、Python、Rust、Swiftが挙げられています。

今後こうしたメモリ安全とされるプログラミング言語の利用が積極的に推奨されることになりそうです。

元記事: https://www.publickey1.jp/blog/24/post_294.html
.NET Java セキュリティ ソフトウェアテスト・品質 プログラミング言語 #セキュリティバグ #深刻 #破壊

COMMENTS

この記事について議論する

Recommended

TITLE
CATEGORY
DATE
IT人材の需要は依然堅調–不況下では高度なスキルが特に重要に
IT関連
2023-03-17 21:04
住宅事業者向けクラウド型住宅ローン業務支援システムのiYellが35億円のシリーズD調達
IT関連
2022-02-10 22:56
富士通、関節可動域を自動測定する「HOPE ROMREC」発売–病院などのリハビリを支援
IT関連
2021-03-01 08:24
「マネーフォワード Admina」、情シス向け従業員データベース作成を可能にする新機能
IT関連
2023-11-07 19:05
ポケモンGO、“カントーツアー”補填イベントの内容が明らかに
くらテク
2021-03-04 07:14
京都発HACARUSの衛星画像分析AIがドイツ「INNOspace Masters」イノーベション・コンペで2位受賞
人工知能・AI
2021-08-06 19:17
今がオープンソースから「ポストオープン」へ踏み出すとき。オープンソースの中心人物ブルース・ペレンズ氏が提案する、開発者にお金を分配できる新たな仕組み[後編]
オープンソース
2024-04-16 03:24
Clubhouseで楽しさを知った会話の「輪」はさらに広がる 「音声」の重要性を改めて考えてみた (1/2 ページ)
くわしく
2021-02-26 05:40
GVA TECH、「GVA manage」を「Google Workspace」と連携–連絡先のメールアドレスを自動表示
IT関連
2023-11-18 02:12
経理人材不足を感じるのは7割–ブラックライン、経理部門のDX推進と人材の実態で調査
IT関連
2022-07-16 00:54
企業幹部も感じる“仕事と生活の衝突”–約7割が転職を検討
IT関連
2022-07-01 13:29
「電気の顔の見える化」目指すみんな電力が11.5億円のシリーズC調達、総調達額約41.5億円に
シェアリングエコノミー
2021-05-08 09:21
SBT、「VMware Carbon Black」に対応したMSSを提供–国内EDR市場の8割をカバー可能に
IT関連
2023-04-04 00:26
サイバーエージェント、エイベックスの筆頭株主に
企業・業界動向
2021-05-29 09:59