NTTと早大、プログラム中の文字列チェック機能の脆弱性を自動修正する技術を実現

　日本電信電話株式会社（本社:東京都千代田区、代表取締役社長:澤田 純、以下「NTT」）と学校法人早稲田大学（本部:東京都新宿区 理事長:田中愛治 以下、「早稲田大学」）は、文字列のチェック機能の処理時間を長期化させコンピュータの負荷を大幅に増大させる攻撃を引き起こす脆弱性に対する実用的な自動修正技術を世界に先駆けて実現いたしました。文字列のパターンマッチに用いられる正規表現（※1）とは、特定の文字の並び（文字列）をルールに基づき簡略化して表現する方法で、Webサービスなどにおいてユーザの入力値が期待したものであるかの検証など幅広い場面で利用されています。難解な正規表現の仕組みやルールを深く理解し、検証すべき文字列を厳密に定義できていないと脆弱性になってしまうため、近年グローバルで大きな脅威となっています。この技術によって、専門知識をもたない開発者でもこうした正規表現の脆弱性の修正が可能となり、安全なサービスの実現が期待できます。

1.背景

　ソフトウェアの脆弱性を悪用するサイバー攻撃は後を絶たず、世界中で大きな被害が報告されています。脆弱性とは、プログラムの不具合や設計上のミスなどが原因となって発生するセキュリティ上の欠陥であり、なかでも正規表現を用いた文字列のパターンマッチを行う機能に対して、処理時間が長くなる入力を与えることで計算リソースを消費しサービス運用妨害を引き起こす脆弱性をReDoS脆弱性（※2）と言います。

　正規表現は、ほとんどのプログラミング言語に組み込まれて利用されており、入力文字列が意図されたパターンと一致するか否か（例えば、メールアドレスや電話番号の形式チェック）を判断するエンジン等として、さまざまなソフトウェア/サービスで幅広く利用されています。このReDoS脆弱性が原因で商用のサービスが停止するようなインシデントは、この数年の間にたびたび発生しており、グローバルで大きな脅威として注目を集めています。

※1　正規表現・・・コンピュータで特定の文字の並び（文字列）をルールに基づき簡略化して表現する方法の1つで、特定の文字列のパターンを検索・抽出・置換するときに用いられる。

※2　ReDoS脆弱性・・・ReDoSとはRegular Expression Denial of Serviceの略で、正規表現のパターンマッチにかかる処理時間を長期化させて計算リソースを消費し、サービス停止を引き起こすような正規表現の脆弱性のことを表す。