WebVulnerabilities

ReDoS攻撃について

概要

ReDoS（Regular Expression Denial of Service）攻撃は、正規表現の処理において計算量が急激に増加するケースを悪用して、システムのリソースを過剰に消費させることで、サービス拒否（DoS）状態を引き起こす攻撃です。特に、バックトラッキングが多発する複雑な正規表現や、非効率的な正規表現を使用している場合に、この攻撃が可能になります。

脆弱性を持つコードの例と攻撃手法

PHP

脆弱なコード:

<?php
$input = $_GET['input'];
if (preg_match('/^(a+)+$/', $input)) {
    echo "Match found!";
} else {
    echo "No match.";
}
?>

攻撃手法: このコードは、aの連続する文字列をチェックするために正規表現を使用していますが、入力として大量のaと無関係な文字を含む文字列（例: aaaaaaaaaaaaaaaaaaaaX）を送信することで、正規表現の処理が長時間にわたり続き、サーバーが応答しなくなる可能性があります。

Python

脆弱なコード:

import re

input_string = input("Enter a string: ")
pattern = re.compile(r'^(a+)+$')

if pattern.match(input_string):
    print("Match found!")
else:
    print("No match.")

攻撃手法: Pythonでも同様に、aaaaaaaaaaaaaaaaaaaaXのような入力を与えることで、正規表現の処理時間が劇的に増加し、システムリソースを大量に消費します。

Pythonのバージョンによる差異

Python 2.x

脆弱性:
- Python 2.xのreモジュールは、バックトラックが多く発生する正規表現に対して脆弱です。特に、入力の長さが増加するにつれて、処理時間が急激に増加する正規表現が存在する場合、ReDoS攻撃のリスクが高まります。
- Python 2.xでは、正規表現の処理性能や安全性に関する最適化が行われていないため、特定のパターンに対してReDoS攻撃が非常に効果的になる可能性があります。

Python 3.x

改善:
- Python 3.xでは、reモジュールにいくつかのパフォーマンス改善が行われましたが、根本的にはReDoS攻撃に対する完全な防御策が導入されているわけではありません。
- Python 3.xでも、特定の正規表現は依然としてバックトラックの影響を受けやすく、これによりReDoS攻撃が成功する可能性があります。しかし、Python 3.xの新しいバージョンでは、正規表現の実行に関する最適化が進められ、以前よりは安全性が向上しています。

Python 3.6以降

さらなる最適化:
- Python 3.6以降では、reモジュールのパフォーマンスがさらに改善されていますが、それでも複雑な正規表現に対するReDoS攻撃に対して完全に安全とは言えません。
- Python 3.7以降では、正規表現エンジンに関するいくつかのバグ修正とパフォーマンスの最適化が行われていますが、複雑なパターンや大量のバックトラックを引き起こす入力に対する防御は限られています。

Node.js

脆弱なコード:

const input = req.query.input;
const regex = /^(a+)+$/;

if (regex.test(input)) {
    res.send("Match found!");
} else {
    res.send("No match.");
}

攻撃手法: Node.jsでも、複雑な正規表現に対して攻撃者が巧妙に構成された入力を送信することで、CPU使用率が高まり、サービスが停止する可能性があります。

Java

脆弱なコード:

import java.util.regex.*;

public class ReDoSExample {
    public static void main(String[] args) {
        String input = args[0];
        Pattern pattern = Pattern.compile("^(a+)+$");
        
        Matcher matcher = pattern.matcher(input);
        if (matcher.find()) {
            System.out.println("Match found!");
        } else {
            System.out.println("No match.");
        }
    }
}

攻撃手法: Javaでも、複雑な正規表現に対して攻撃者が膨大な入力（例: aaaaaaaaaaaaaaaaaaaaX）を提供することで、正規表現の評価が非常に遅くなり、システムが応答しなくなる可能性があります。

防止策

正規表現の最適化:
- 脆弱な正規表現を使用しないように、可能な限りシンプルかつ効率的な正規表現を作成します。例えば、バックトラッキングが多発するパターンを避け、代替のアプローチを検討します。
- 例: ^(a+)+$の代わりに、^a+$のようなよりシンプルな正規表現を使用する。
入力の制限:
- ユーザーからの入力に対してサイズや形式の制限を設け、悪意のある入力が長時間処理されることを防ぎます。例えば、入力の最大長を制限することが有効です。
正規表現のタイムアウト設定:
- 一部の言語やフレームワークでは、正規表現の処理にタイムアウトを設定できる場合があります。これにより、処理が一定時間を超えると強制的に中断させることができます。
- 例: Javaではjava.util.regex.Matcherで正規表現のタイムアウトを実装することが可能です。
正規表現の事前検証:
- 使用する正規表現を事前に検証し、パフォーマンス上の問題がないかチェックします。これにより、問題が発生する可能性のある正規表現を未然に排除できます。
ライブラリのアップデートと脆弱性管理:
- 使用している言語やフレームワークの正規表現処理に関する脆弱性が報告された場合、直ちにパッチを適用し、アップデートを行うことが重要です。

まとめ: ReDoS攻撃は、正規表現の非効率的な処理を悪用することでサービス拒否状態を引き起こす攻撃です。複雑な正規表現を最適化することや、入力制限、タイムアウト設定、ライブラリのアップデートを通じて、この脆弱性を効果的に防ぐことが可能です。各言語に共通する問題であるため、特に注意を払い、対策を講じることが求められます。