DNAに格納したエクスプロイトでコンピューターを攻撃、米で実験

2017年8月13日 07:31

DNAをストレージとして使用する試みは以前から行われているが、米国・ワシントン大学の研究チームがDNAにエクスプロイトコードを格納してコンピューターを攻撃する実験を行っている(ワシントン大学のニュース記事論文: PDFHackReadの記事The Registerの記事)。 実験ではDNAシーケンサーが出力するFASTQファイルにエクスプロイトコードが含まれるようDNA鎖を合成。FASTQファイルの圧縮に用いるfqzcompユーティリティーを改変し、想定より長いDNAリードを読み込むとバッファーオーバーフローを引き起こす脆弱性を追加している。このエクスプロイトコードによる攻撃が成功するとターゲットマシンはリモートサーバーに接続し、リモートから任意のコードを実行可能になる。なお、実験はASLRを無効化するなど、攻撃者に有利な環境で行われている。 エクスプロイトコードはシーケンシングのエラーに弱く、1か所でもエラーがあると機能しなくなる。実験では76.2%が正常に読み取られたが、ランダムに逆順の読み取りが発生するため、機能するエクスプロイトコードが含まれるリードは37.4%だったそうだ。 実験ではプログラムに脆弱性を追加しているが、DNA分析に使用するオープンソースプログラムを調査したところ、セキュリティのベストプラクティスに従っていないものが多かったという。また、複数サンプルを同時に処理可能なマルチプレックス法によるDNAシーケンシングでは、他のサンプルのデータを取得可能なことも今回の実験で判明している。 現実のプログラムで脆弱性を探し、攻撃用のコードをDNAに組み込むのは容易ではない。ただし、分析を依頼されるDNAサンプルが攻撃ベクターになる可能性を認識し、攻撃が現実の脅威となる前にセキュリティの改善を進めていく必要があるとのことだ。

関連記事

最新記事