大量の「おとり」バグで攻撃を撹乱、ソフトウェア守る新手法

レーダーによる探知をかわす非常に効果的な対抗策の1つは、無数のアルミ箔片や金属化プラスチックを散布することだ。散布したアルミ箔片などがレーダーの電波を強力に反射して無数の標的を作り出し、レーダーの反射波を圧倒して混乱に陥れる。レーダー誘導ミサイルなど、標的を追跡するものなら何でも、この方法で混乱させられる。

大半の軍用機や軍艦、多くの弾道ミサイルがチャフ（レーダー電波を反射しやすい材質の小片）などのおとりシステムを装備している。そして今、サイバーセキュリティの研究者が同じアイデアをソフトウェアに応用しようとしている。

アイデアの原理は簡単だ。ソフトウェアにはバグが含まれていることが多いが、そのバグの大半はソフトウェアの開発者や正規ユーザーに気付かれずに終わる。だが、悪意のあるハッカーは標的型攻撃に悪用するためにバグを積極的に探す。ハッカーの目標は、コンピューターを乗っ取るか、意のままに操ることだ。

だが、すべてのバグが同じわけではない。一部のバグは悪意のある目的に利用できず、せいぜいプログラムをクラッシュさせる程度のことしかできない。プログラムのクラッシュも深刻な影響を及ぼす可能性がある。しかし、ユーザーが気付かないうちにソフトウェアを再起動させることにより、クラッシュにうまく対処するように作られたソフトウェアはたくさんある。例えば、バックグラウンド・マイクロサービスなどがそうだ。この種のバグは、悪意ある支配を可能にする他のバグに比べれば、深刻度は遥かに低い。

だが、こうしたバグを見分けることは必ずしも簡単ではない。悪意のあるプログラマーは、バグを見つけた後、本当に危険なバグと比較的安全なバグを区別する必要があるが、それはたいていの場合、困難で時間がかかる作業となる。

こうしたことがニューヨーク大学のジェンガオ・フーと同僚が開発した新しいアプローチの基盤になっている。つまり、潜在的な攻撃者をだます手段として、普通のコードを無害なバグで埋め尽くすのだ。

攻撃の役に立たないバグを見つけさせてテストさせることで、攻撃者のリソースを使い果たさせようというわけだ。フーと同 …