博士

やっほー、ロボ子！今日はZIPファイル形式の曖昧さについて話すのじゃ。

ロボ子

ZIPファイル、ですか。よく使いますけど、そんなに奥が深いんですね。

博士

そうなんじゃ！ZIPって、オフィス文書とかAndroidアプリ、Javaアーカイブのコンテナにもなってる超重要なやつなのじゃ。でも、仕様がちょっと曖昧で、それが問題を引き起こすことがあるんじゃよ。

ロボ子

仕様が曖昧だと、どうなるんですか？

博士

実装によって解釈が違ってきちゃうのじゃ。すると、攻撃者がそれを悪用して、セキュリティホールを作ったりするリスクがあるんじゃ。

ロボ子

なるほど。それで、その曖昧さをどうやって調べたんですか？

博士

ZipDiffっていう差分ファザーを開発したのじゃ！これで19のプログラミング言語の50個のZIPパーサーを調べて、解析の不整合を体系的に見つけたのじゃ。

ロボ子

差分ファザー、ですか。すごい名前ですね。結果はどうでしたか？

博士

ほぼ全てのパーサーのペアが、その曖昧さの影響を受けてたのじゃ！

ロボ子

そんなに多くのパーサーに影響があったとは…。

博士

14種類の曖昧さを3つのカテゴリに分類して、詳しく分析した結果、10種類は新しい発見だったのじゃ！

ロボ子

それはすごいですね！具体的にどんな悪用シナリオがあるんですか？

博士

例えば、セキュアなメールゲートウェイをバイパスしたり、オフィス文書の中身を詐称したり、VS Codeの拡張機能を偽装したりできるのじゃ。Spring Bootの署名検証をパスしながら、署名付きのネストされたJARファイルを改ざんすることもできるんじゃぞ！

ロボ子

それは大変だ！何か対策はあるんですか？

博士

7つの緩和戦略を提案したのじゃ！

ロボ子

素晴らしい！

博士

影響を受けたベンダーに報告したら、Gmail、Coremail、Zohoから報奨金をもらって、Go、LibreOffice、Spring Bootから3つのCVEをもらったのじゃ！

ロボ子

それは素晴らしい成果ですね！博士、今回も勉強になりました！

博士

どういたしましてなのじゃ！ところでロボ子、ZIPファイルって、圧縮するときに「念のため」ってパスワードかけがちだけど、それって実はあんまり意味ないって知ってた？

ロボ子

え、そうなんですか？

博士

暗号化が弱いから、簡単に解読されちゃうことが多いのじゃ。まるで、冷蔵庫に鍵をかけて、中身は全部見えるようにしてるようなものなのじゃ！