WO2022079840A1

WO2022079840A1 - 解析機能付与装置、解析機能付与方法および解析機能付与プログラム

Info

Publication number: WO2022079840A1
Application number: PCT/JP2020/038801
Authority: WO
Inventors: 利宣碓井; 知範幾世; 裕平川古谷; 誠岩村; 潤三好
Original assignee: 日本電信電話株式会社
Priority date: 2020-10-14
Filing date: 2020-10-14
Publication date: 2022-04-21
Also published as: JP7452691B2; JPWO2022079840A1; US20230418941A1

Abstract

解析機能付与装置（１００）は、テストスクリプトをスクリプトエンジンに入力して実行させることで、分岐命令およびメモリアクセスに関する複数の実行トレースを取得する。解析機能付与装置（１００）は、複数の実行トレースを基にして類似する系列を特定し、特定した系列に含まれる関数呼び出しを型変換関数の候補として検出する。解析機能付与装置（１００）は、実行トレースのうち、型変換関数の候補引数および返り値の変数から、入出力の関係にある変数を検出する。解析機能付与装置（１００）は、型変換関数の入出力の関係にある変数の型変数関数に対してテイント解析を実行し、入出力間でタグが伝播しない型変数関数を示す伝播漏れ関数を検出する。解析機能付与装置（１００）は、伝播漏れ関数に対して、タグを強制的に伝播させる強制伝播ルールを生成し、強制伝播ルールを基にして、スクリプトエンジンにテイント解析機能を付与する。

Description

解析機能付与装置、解析機能付与方法および解析機能付与プログラム

　本発明は、解析機能付与装置、解析機能付与方法および解析機能付与プログラムに関する。

　マルウェアを用いたスパム（マルスパム）やファイルレスマルウェアなどの多様な攻撃の形態が生じるに伴って、悪性な挙動を示すスクリプト（悪性スクリプト）による攻撃の脅威が顕在化している。

　悪性スクリプトとは、悪意のある挙動を持ったスクリプトであり、スクリプトエンジンの提供する機能を悪用して攻撃を実現するプログラムである。一般に、オペレーティングシステム（OS：Operating　System）がデフォルトで具備するスクリプトエンジンや、Ｗｅｂブラウザや文書ファイルのビューアなど、特定のアプリケーションの具備するスクリプトエンジンを用いて攻撃が実施される。

　こうしたスクリプトエンジンの多くは、ユーザの許可が必要な場合もあるものの、ファイル操作やネットワーク通信、プロセスの起動など、システムを介した挙動も実現可能である。したがって、悪性スクリプトを用いた攻撃は、実行ファイルのマルウェアを用いた攻撃と同様に、ユーザに対しての脅威となる。

　悪性スクリプトによる攻撃に対策を講じるためには、スクリプトの持つ挙動を正確に把握する必要があるため、スクリプトを解析することで、その挙動を明らかにする技術が求められている。

　悪性スクリプトを解析する際に生じる問題として、コードの難読化がある。悪性スクリプトの多くは、難読化と呼ばれる、解析を妨害する処理が施されている。難読化は、故意にコードの複雑さを高めることで、コードの表層的な情報に基づいて解析するのを困難にする。すなわち、スクリプトを実行せずに、コードから得られる情報で解析する、静的解析と呼ばれる解析方法を妨害する。

　特に、実行するコードの一部を外部から動的に取得する場合は、そのコードは実行しなければ得られないため、静的には解析できない。したがって、静的解析はその原理上、不可能となる。

　一方で、スクリプトを実行し、その振る舞いを監視することで挙動を知る動的解析と呼ばれる手法は、前述のような難読化の影響を受けない。そのため、悪性スクリプトの解析においては、動的解析に基づく手法が主に用いられている。

　動的解析に関する、既存の解析技術の多くは、スクリプトの実行における制御の流れ（制御フロー）を追って挙動を解析するが、さらなる詳細な挙動の解析のためには、制御フローの解析のみならず、データの流れ（データフロー）の解析も求められる。

　悪性スクリプトが扱うデータの流れを精緻に追跡できれば、解析者はそのデータの属性（たとえば，復号鍵であるか、攻撃者からの指令であるかなど）を把握できる。これにより、悪性スクリプトの挙動をより詳細に明らかにできる。

　こうしたデータの追跡を実現する手法として、テイント解析が存在する。テイント解析とは、データにテイントタグ（以降、タグと呼ぶ）という属性情報を付与し、それをデータの移動にあわせて伝播させていくことで、データフローを解析する技術である。

　スクリプトに対するテイント解析の実現について、たとえば、非特許文献１には、PHPのZendフレームワークの仮想機械（VM：Virtual　Machine）に対して、タグの伝播ルールを実装し、テイント解析を実現している。この手法によれば、PHPのスクリプトのデータフローを解析できる。

　また、非特許文献２には、JavaScriptのVMに対して、伝播ルールを実装し、テイント解析を実現している。この手法によれば、JavaScriptのスクリプトのデータフローを解析できる。

　非特許文献３には、JavaScriptのVMではなく、抽象機械を用いてテイント解析を実現する手法が記載されている。この手法によれば、特定のVMによらず、様々な実行環境でのJavaScriptのスクリプトに対して、データフローの解析を実現できる。

　そして、非特許文献４には、スクリプトの各行の左辺値のタグを右辺値に伝播させる伝播ルールをスクリプトに直接注入することで、テイント解析を実現する手法が記載されている。この手法によれば、スクリプト言語の種類を問わず、データフローの解析を実現できる。

Monga　et　al.（2009）A　hybrid　analysis　framework　for　detecting　web　application　vulnerabilities. Vogt　et　al.(2007)　Cross-Site　Scripting　Prevention　with　Dynamic　Data　Tainting　and　Static　Analysis. Karim　et　al.(2018)　Platform-Independent　Dynamic　Taint　Analysis　for　JavaScript. Xu　et　al.(2005)　Practical　Dynamic　Taint　Analysis　for　Countering　Input　Validation　Attacks　on　Web　Applications.

　しかしながら、上述した従来技術では、様々なスクリプトエンジンに対し、細粒度のテイント解析を実現することができないという問題がある。

　たとえば、非特許文献１及び非特許文献２に記載の手法では、スクリプトエンジンごとに個別にテイント解析機能を設計し、実装する必要があるという課題があった。また、テイント解析機能を実現するために、スクリプトエンジンの仮想機械の内部実装の情報を事前に知る必要があるという課題があった。

　非特許文献３に記載の手法では、JavaScriptであれば特定のスクリプトエンジンには依存しないものの、やはり、JavaScriptという特定のスクリプト言語に依存するという課題があった。

　非特許文献４に記載の手法では、スクリプト本体へのコードの注入が必要であるため難読化されたスクリプトへの対応が困難であることと、右辺値のタグを左辺値に伝播させるのみの粗粒度の解析であることから、悪性スクリプトの解析には適さないという課題があった。

　本発明は、上記に鑑みてなされたものであって、多様なスクリプトエンジンやスクリプト言語に対して個別の設計及び実装を要さず、事前の内部実装の情報なしに、難読化された悪性スクリプトにも適用可能な、細粒度のテイント解析機能の付与を実現できる装置を提供することを目的とする。

　上述した課題を解決し、目的を達成するために、本発明に係る解析機能付与装置は、テストスクリプトをスクリプトエンジンに入力して実行させることで、分岐命令およびメモリアクセスに関する複数の実行トレースを取得する実行トレース取得部と、複数の実行トレースを基にして類似する系列を特定し、特定した系列に含まれる関数呼び出しを型変換関数の候補として検出する型変換関数検出部と、実行トレースのうち、型変換関数の候補引数および返り値の変数から、入出力の関係にある変数を検出する入出力検出部と、型変換関数の入出力の関係にある変数の型変数関数に対してテイント解析を実行し、入出力間でタグが伝播しない型変数関数を示す伝播漏れ関数を検出する伝播漏れ検出部と、伝播漏れ関数に対して、タグを強制的に伝播させる強制伝播ルールを生成する生成部と、強制伝播ルールを基にして、スクリプトエンジンにテイント解析機能を付与する解析機能付与部とを備えることを特徴とする。

　本発明によれば、様々なスクリプトエンジンに対し、細粒度のテイント解析機能の付与を実現することができる。

図１は、本実施例に係る解析機能付与装置の構成を示す機能ブロック図である。図２は、テストスクリプトの一例を示す図である。図３は、実行トレースの一例を示す図である。図４は、テイント解析を説明するための図（１）である。図５は、テイント解析を説明するための図（２）である。図６は、テイント解析を説明するための図（３）である。図７は、テイント解析を説明するための図（４）である。図８は、強制伝播ルールＤＢの一例を示す図である。図９は、実行トレース取得部の処理手順を示すフローチャートである。図１０は、型変換関数検出部の処理を説明するための図である。図１１は、改造版Smith-Watermanアルゴリズムを説明するための図である。図１２は、型変換関数検出部の処理手順を示すフローチャートである。図１３は、改造版Smith-Watermanアルゴリズムの処理を示すフローチャート（１）である。図１４は、改造版Smith-Watermanアルゴリズムの処理を示すフローチャート（２）である。図１５は、入出力検出部の処理を説明するための図である。図１６は、入出力検出部の処理手順を示すフローチャートである。図１７は、伝播漏れ検出部の処理を説明するための図である。図１８は、伝播漏れ検出部の処理手順を示すフローチャートである。図１９は、強制伝播ルール生成部の処理手順を示すフローチャートである。図２０は、テイント解析機能付与部の処理手順を示すフローチャートである。図２１は、本実施例に係る解析機能付与装置の処理手順を示すフローチャートである。図２２は、解析機能付与プログラムを実行するコンピュータの一例を示す図である。

　以下に、本願の開示する解析機能付与装置、解析機能付与方法および解析機能付与プログラムの実施例を図面に基づいて詳細に説明する。なお、この実施例によりこの発明が限定されるものではない。

　本実施例に係る解析機能付与装置の構成について説明する。図１は、本実施例に係る解析機能付与装置の構成を示す機能ブロック図である。図１に示すように、解析機能付与装置１００は、通信制御部１１０と、入力部１２０と、出力部１３０と、記憶部１４０と、制御部１５０とを有する。解析機能付与装置１００は、パソコン等の汎用コンピュータで実現される。

　通信制御部１１０は、ＮＩＣ（Network　Interface　Card）等で実現され、ＬＡＮ（Local　Area　Network）やインターネットなどの電気通信回線を介した外部の装置と制御部１５０との通信を制御する。

　入力部１２０は、キーボードやマウス等の入力デバイスを用いて実現され、操作者による入力操作に対応して、制御部１５０に対して処理開始などの各種指示情報を入力する。出力部１３０は、液晶ディスプレイなどの表示装置、プリンター等の印刷装置等によって実現される。

　記憶部１４０は、テストスクリプト１４１と、スクリプトエンジンバイナリ１４２と、実行トレースＤＢ（Data　Base）１４３と、テイント解析ツール１４４と、強制伝播ルールＤＢ１４５とを有する。

　テストスクリプト１４１は、テスト用のスクリプトを示す。図２は、テストスクリプトの一例を示す図である。たとえば、図２に示すように、テストスクリプト１４１は、スクリプト１４１Ａと、スクリプト１４１Ｂとを有する。

　スクリプトエンジンバイナリ１４２は、スクリプトを実行するスクリプトエンジン（ＶＭ）のバイナリプログラムである。なお、図示を省略するが、記憶部１４０には、計装用仮想機械のデータが格納されている。かかる計装用仮想機械は、バイナリプログラムに対してフックをし、実行中の監視を可能にするＶＭである。たとえば、計装用仮想機械の上でフックをしたスクリプトエンジンバイナリ１４２を用いてスクリプトを実行すると、スクリプトエンジンバイナリ１４２を監視しながら、スクリプトを実行することができる。

　実行トレースＤＢ１４３は、テストスクリプト１４１をスクリプトエンジンバイナリ１４２に実行させることで得られるトレースを保持する。以下の説明では、テストスクリプト１４１をスクリプトエンジンバイナリ１４２に実行させることで得られるトレースを、「実行トレース」と表記する。

　図３は、実行トレースの一例を示す図である。図３に示すように、実行トレース１０は、分岐命令に関するトレース１０ａと、メモリアクセスに関するトレース１０ｂが含まれる。複数のスクリプトが実行される場合には、実行トレースＤＢ１４３には、各スクリプトに対応した実行トレースが格納される。

　テイント解析ツール１４４は、テイント解析を実行するツールである。テイント解析を実行することで、伝播漏れ関数を検出することが可能となる。

　テイント解析とは、プログラム中のデータの流れを追跡して解析する技術である。テイント解析では、特定のデータ（テイントソース、以降ソースと呼ぶ）にテイントタグと呼ばれる属性情報を付与し、データの移動に合わせてタグを伝播させていく。そして、テイント解析では、あるデータ（テイントシンク、以降シンクと呼ぶ）のタグを確認し、データの属性を特定する。

　図４～図７は、テイント解析を説明するための図である。図４について説明する。ＶＭ２０には、メモリ２０ａと、仮想ＣＰＵ２１とが含まれ、仮想ＣＰＵ２１には、レジスタ２１ａが含まれる。テイント解析では、タグ管理用の領域として、シャドウメモリ２０ｂと、シャドウレジスタ２１ｂとをＶＭ２０に実装する。

　図５の説明に移行する。テイント解析では、特定の書き込みによって、メモリ２０ａの領域２０ａ－１にデータが書き込まれた場合、タグ２０ｂ－１を、シャドウメモリ２０ｂに付与する。特定の書き込みは、ディスク５のＩ／Ｏ（Input　Output）等に対応する。この場合、タグ２０ｂ－１には、たとえばディスク５に対応することを示す属性情報を持たせる。

　図６の説明に移行する。テイント解析では、メモリの移動やコピーに合わせて、タグを伝播させていく。たとえば、領域２０ａ－１が、レジスタ２１ａの領域２０ａ－２に移動した場合には、シャドウレジスタ２１ｂに、タグ２０ｂ－２を設定する。また、領域２０ａ－２のデータが、メモリ２０ａの領域２０ａ－３に移動した場合には、シャドウメモリ２０ｂに、タグ２０ｂ－３を設定する。

　図７の説明に移行する。テイント解析では、特定のメモリ読み込み時に、タグを確認することで、データの流通元を特定することができる。特定のメモリ読み込みは、ネットワーク６に接続する通信等に対応する。たとえば、シャドウメモリ２０ｂ、シャドウレジスタ２１ｂのタグを確認することで、データの流通元が、ディスク５であることを特定することができる。

　なお、テイント解析によって、タグを伝播させていく過程において、タグが伝播しない関数が、スクリプトに含まれる場合がある。たとえば、テイント解析において、本来はデータに依存関係があるソースとシンクの間で、ソースに設定したタグが、シンクにおいて設定されていない場合に、タグが伝播していないことを特定できる。入出力にデータの依存関係があるにも関わらずタグが伝播しない関数を「伝播漏れ関数」と表記する。

　図１の説明に戻る。強制伝播ルールＤＢ１４５は、伝播漏れ関数に対して、強制的にタグを伝播させるルールを保持する。伝播漏れ関数に対して、強制的にタグを伝播させるルールを「強制伝播ルール」と表記する。図８は、強制伝播ルールＤＢの一例を示す図である。図８に示すように、伝播漏れ関数と、かかる伝播漏れ関数でソースとなる入力の変数とシンクとなる出力の変数とが定義される。「func_offset」は伝播漏れ関数のスクリプトエンジンバイナリ内での位置を、オフセットで示している。図８では、スクリプトエンジンバイナリの先頭から「0x455af0」の位置に、この伝播漏れ関数が存在することを示している。「in_arg_idx」および「out_arg_idx」は、それぞれ入力と出力の変数が伝播漏れ関数の何番目の引数または返り値にあたるかを示す添字である。図８では、「in_arg_idx」が「0」であることは、第一引数が入力であることを示し、「out_arg_idx」が「-1」であることは、返り値が出力であることを示している。「in_arg_idx」および「out_arg_idx」は、それぞれ入力と出力の変数をどのような型として解釈するべきかを示している。図８では、「in_arg_type」が「STRUCT|OFF_8|CHAR_PTR」であることは、前述の「in_arg_idx」が「0」であることと併せて、第一引数を構造体として解釈し、そのオフセットが+8のメンバ変数をchar*型として解釈すると入力値が得られることを示す。また、「out_arg_type」が「STRUCT|OFF_16|UINT32」であることは、前述の「out_arg_idx」が「-1」であることと併せて、返り値を構造体として解釈し、そのオフセットが+16のメンバ変数をuint32_t型として解釈すると出力値が得られることを示す。したがって、この強制伝播ルールは、「func_offset」の位置の伝播漏れ関数の持つ「in_arg_idx」の変数を「in_arg_type」の型で解釈したメモリにタグが付いていれば、「out_arg_idx」の変数を「out_arg_type」の型で解釈したメモリに強制的に伝播させることを示す。

　スクリプトを仮想機械バイナリ（スクリプトエンジン）１４２に入力して、スクリプトを実行する場合に、強制伝播ルールに従って、スクリプトに含まれる伝播漏れ関数に、値を設定する機能を、スクリプトエンジンに付与することで、伝播漏れを抑止することができる。

　制御部１５０は、受付部１５１、実行トレース取得部１５２、型変換関数検出部１５３、入出力検出部１５４、伝播漏れ検出部１５５、強制伝播ルール生成部１５６、テイント解析機能付与部１５７を有する。

　受付部１５１は、入力部１２０から、テストスクリプト１４１およびスクリプトエンジンバイナリ１４２の入力を受け付ける。受付部１５１は、テストスクリプト１４１およびスクリプトエンジンバイナリ１４２を、記憶部１４０に格納する。受付部１５１は、通信制御部１１０を介して、外部装置から、テストスクリプト１４１およびスクリプトエンジンバイナリ１４２を受け付けてもよい。

　実行トレース取得部１５２は、テストスクリプト１４１を、スクリプトエンジンバイナリ１４２に入力して実行させ、トレースを取得し、取得したトレースを実行トレースＤＢ１４３に格納する。たとえば、実行トレース取得部１５２は、スクリプトエンジンバイナリ１４２に、トレースを取得するためのフックを設定する。フックは、プログラムの処理に独自の処理を割り込ませる機能である。

　図９は、実行トレース取得部の処理手順を示すフローチャートである。図９に示すように、実行トレース取得部１５２は、テストスクリプト１４１およびスクリプトエンジンバイナリ１４２を取得する（ステップＳ１０）。実行トレース取得部１５２は、スクリプトエンジンバイナリ１４２にメモリアクセストレースを取得するためのフックを設定する（ステップＳ１１）。

　実行トレース取得部１５２は、スクリプトエンジンバイナリ１４２に分岐命令のトレースを取得するためのフックを設定する（ステップＳ１２）。実行トレース取得部１５２は、テストスクリプト１４１をスクリプトエンジンバイナリ１４２に入力して実行する（ステップＳ１３）。

　実行トレース取得部１５２は、スクリプトエンジンバイナリ１４２のフックから得られる実行トレースを実行トレースＤＢ１４３に格納する（ステップＳ１４）。実行トレース取得部１５２は、入力されたテストスクリプト１４１をすべて実行していない場合には（ステップＳ１５，Ｎｏ）、ステップＳ１３に移行する。一方、実行トレース取得部１５２は、入力されたテストスクリプト１４１をすべて実行した場合には（ステップＳ１５，Ｙｅｓ）、処理を終了する。

　図１の説明に戻る。型変換関数検出部１５３は、実行トレースＤＢ１４３に格納された複数の実行トレースを基にして、類似する系列を特定し、特定した系列に含まれる関数呼び出しを、型変換関数の候補として検出する。たとえば、型変換関数検出部１５３は、差分実行解析と呼ばれる手法を用いて、型変換関数の候補を検出する。

　図１０は、型変換関数検出部の処理を説明するための図である。図１０に示す例では、実行トレース３０Ａと、実行トレース３０Ｂとを用いて説明する。実行トレース３０Ａは、図２に示したスクリプト１４１Ａを、スクリプトエンジンバイナリ１４２で実行することで得られる実行トレースである。実行トレース３０Ｂは、図２に示したスクリプト１４１Ｂを、スクリプトエンジンバイナリ１４２で実行することで得られる実行トレースである。分岐命令に関するトレースの時系列方向を、方向７とする。

　型変換関数検出部１５３は、実行トレース３０Ａの方向７の順に、実行トレース３０Ａの系列と、実行トレース３０Ｂの系列とを比較し、類似する系列を特定する。たとえば、系列３０Ａ－１と、系列３０Ｂ－１，３０Ｂ－２，３０Ｂ－３との類似度が所定の閾値を超えるものとする。型変換関数検出部１５３は、系列３０Ａ－１と、系列３０Ｂ－１，３０Ｂ－２，３０Ｂ－３に共通して含まれている関数呼び出しを、型変換関数の候補として抽出する。型変換関数検出部１５３は、型変換関数の候補の情報を、入出力検出部１５４に出力する。

　ここで、図２に示したテストスクリプト１４１Ａと１４１Ｂでは、それぞれ「time.time()」が１回および３回呼び出されている。呼び出された結果は、実行トレースに反映され、「time.time()」に対応する分岐のトレースの系列が１４１Ａに対応する３０Ａには１回（３０Ａ－１に対応）、１４１Ｂに対応する３０Ｂには３回（３０Ｂ－１、３０Ｂ－２、３０Ｂ－３に対応）出現する。time.time()の中では型変換が内部的に行われており、３０Ａ－１、３０Ｂ－１、３０Ｂ－２、３０Ｂ－３の中にそれぞれその型変換関数の呼び出しが存在することが期待される。

　たとえば、型変換関数検出部１５３は、改造版Smith-Watermanアルゴリズムによって、類似する系列を特定する。図１１は、改造版Smith-Watermanアルゴリズムを説明するための図である。型変換関数検出部１５３は、ＤＰ表４０を設定し、ＤＰ表４０の表側（行）４０ｌに、型変数関数を一回呼び出した実行トレース（たとえば、実行トレース３０Ａ）を設定する。型変換関数検出部１５３は、ＤＰ表４０の表頭（列）４０Ｃに、型変数関数をＮ回呼び出した実行トレース（たとえば、実行トレース３０Ｂ）を設定する。

　型変換関数検出部１５３は、ＤＰ表４０の各セル（ｉ，ｊ）に、マッチスコアＦ（ｉ，ｊ）によって算出される値を設定する。ｉはｉ番目の行に対応し、ｊはｊ番目の列に対応する。ｉおよびｊの初期値を「０」とする。たとえば、型変換関数検出部１５３は、式（１）に基づいて、マッチスコアＦ（ｉ，ｊ）を計算する。式（１）に含まれるｓ（ｉ，ｊ）は、式（２）によって定義される。なお、式（１）のｄには、「－１」が設定される。

　型変換関数検出部１５３は、各セルにマッチスコアを設定した後に、マッチスコアが最大となるセル（４，４）を抽出し、抽出したセルを基点にバックトラックして、最も相同性の高い系列を抽出する。型変換関数検出部１５３は、図１１のＤＰ表４０から、系列「ＳＡＢＣ」を抽出する。

　型変換関数検出部１５３は、抽出した系列に関する部分を除いた部分４０－１を用いて、新たなＤＰ表４０ａを生成する。型変換関数検出部１５３は、ＤＰ表４０ａの各セル（ｉ，ｊ）に、マッチスコアＦ（ｉ，ｊ）によって算出される値を設定する。

　型変換関数検出部１５３は、各セルにマッチスコアを設定した後に、マッチスコアが最大となるセル（４，４）を抽出し、抽出したセルを基点にバックトラックして、最も相同性の高い系列を抽出する。型変換関数検出部１５３は、図１１のＤＰ表４０ａから、系列「ＡＢＣ」を抽出する。

　型変換関数検出部１５３は、抽出した系列に関する部分を除いた部分４０－２を用いて、新たなＤＰ表４０ｂを生成する。型変換関数検出部１５３は、ＤＰ表４０ｂの各セル（ｉ，ｊ）に、マッチスコアＦ（ｉ，ｊ）によって算出される値を設定する。

　型変換関数検出部１５３は、各セルにマッチスコアを設定した後に、マッチスコアが最大となるセル（３，４）を抽出し、抽出したセルを基点にバックトラックして、最も相同性の高い系列を抽出する。型変換関数検出部１５３は、図１１のＤＰ表４０ｂから、系列「ＡＢＣ」を抽出する。

　型変換関数検出部１５３は、上記処理を実行することで、類似する系列「ＳＡＢＣ」、「ＡＢＣ」、「ＡＢＣ」を特定する。

　図１２は、型変換関数検出部の処理手順を示すフローチャートである。図１２に示すように、型変換関数検出部１５３は、実行トレースＤＢ１４３からテストスクリプト１４１Ａ、１４１Ｂによる実行トレースを取得する（ステップＳ２０）。

　型変換関数検出部１５３は、改造版Smith-Watermanアルゴリズムの処理を実行する（ステップＳ２１）。型変換関数検出部１５３は、得られた係数を型変換関数の候補として出力する（ステップＳ２２）。

　次に、図１２のステップＳ２１に示した改造版Smith-Watermanアルゴリズムの処理の一例について説明する。図１３、図１４は、改造版Smith-Watermanアルゴリズムの処理を示すフローチャートである。

　図１３について説明する。型変換関数検出部１５３は、実行トレースＤＢ１４３から実行トレースを取得する（ステップＳ３０）。型変換関数検出部１５３は、型変換関数を１回呼び出した実行トレースをＤＰ表の表側に設定する（ステップＳ３１）。

　型変換関数検出部１５３は、型変換関数をＮ回呼び出した実行トレースをＤＰ表の表頭に設定する（ステップＳ３２）。型変換関数検出部１５３は、ｉ＝０、ｊ＝０に設定する（ステップＳ３３）。型変換関数検出部１５３は、マッチスコアＦ（ｉ，ｊ）を算出する（ステップＳ３４）。

　型変換関数検出部１５３は、ｉが表頭の長さに達していない場合には（ステップＳ３５，Ｎｏ）、ｉに１を加算し（ステップＳ３６）、ステップＳ３４に移行する。

　一方、型変換関数検出部１５３は、ｉが表頭の長さに達した場合には（ステップＳ３５，Ｙｅｓ）、図１４のステップＳ３７に移行する。

　図１４の説明に移行する。型変換関数検出部１５３は、ｊが表側の長さに達していない場合には（ステップＳ３７，Ｎｏ）、ｉに０を設定し、ｊに１を加算し（ステップＳ３８）、図１３のステップＳ３４に移行する。

　型変換関数検出部１５３は、ｊが表側の長さに達した場合には（ステップＳ３７，Ｙｅｓ）、マッチスコアが最大となるセルを抽出する（ステップＳ３９）。型変換関数検出部１５３は、バックトラックして最も相同性の高い系列を抽出する（ステップＳ４０）。

　型変換関数検出部１５３は、Ｎ個の系列を取り出していない場合には（ステップＳ４１，Ｎｏ）、抽出した系列と同じ行で抽出した系列を除いた部分で、ＤＰ表を新たに作成し（ステップＳ４２）、図１３のステップＳ３３に移行する。

　型変換関数検出部１５３は、Ｎ個の系列を取り出した場合には（ステップＳ４１，Ｙｅｓ）、抽出した全Ｎ個の系列の各々の類似度を算出する（ステップＳ４３）。型変換関数検出部１５３は、類似度が所定の閾値を超えていない場合には（ステップＳ４４，Ｎｏ）、マッチスコアが最大の代わりに次に大きいセルを抽出することで、再度処理（ステップＳ３９以降の処理）を実施し（ステップＳ４５）、図１３のステップＳ３１に移行する。

　一方、型変換関数検出部１５３は、類似度が所定の閾値を超えた場合には（ステップＳ４４，Ｙｅｓ）、抽出した系列に含まれている関数呼び出しを型変換関数の候補とする（ステップＳ４６）。型変換関数検出部１５３は、型変換関数の候補を出力する（ステップＳ４７）。

　図１の説明に戻る。入出力検出部１５４は、実行トレースのうち、型変換関数の候補の引数および返り値から、入出力の関係にある変数を検出する。入出力検出部１５４は、検出した入出力の関係にある変数と、かかる変数に対応する型変数関数の情報を、伝播漏れ検出部１５５に出力する。入出力関係にある変数が特定されると、この変数の型変数関数が特定されるものとする。

　図１５は、入出力検出部の処理を説明するための図である。入出力検出部１５４は、スクリプトエンジンバイナリ１４２にテストスクリプト１４１を入力して実行し、実行トレースＤＢ１４３から、テストスクリプト１４１に対応した実行トレースを取得する。入出力検出部１５４は、実行トレースを、メモリ領域５０に展開する。

　入出力検出部１５４は、テストスクリプト１４１に含まれる所定の関数に設定された値「１２３４５６７８９」を特定しておく。所定の関数に設定された値を適宜、「設定値」と表記する。入出力検出部１５４は、メモリ領域５０に展開された実行トレースのうち、型変換関数の候補に対応する領域を特定する。

　入出力検出部１５４は、型変換関数の候補に対応する領域に対して、部分領域毎に、静的解析を実行し、部分領域に含まれる構造体の型を推定する。入出力検出部１５４は、複数種類の型を当てはめ、当てはめた型に対応する値を特定する。

　図１５に示す例では、部分領域５０ａに含まれる構造体について説明する。入出力検出部１５４は、型「ｉｎｔ」を当てはめると、値が「３４２１４７３８」となる。入出力検出部１５４は、型「ｉｎｔ^＊」を当てはめると、値が「５７０１７１５」となる。入出力検出部１５４は、型「ｗｃｈａｒ^＊」を当てはめると、値が「””」となる。入出力検出部１５４は、型「ｃｈａｒ^＊」を当てはめると、値が「１２３４５６７８９」となる。入出力検出部１５４は、型「ｃｈａｒ^＊」を当てはめた場合の値が「１２３４５６７８９」となり、設定値と一致する。入出力検出部１５４は、型「ｃｈａｒ^＊」を当てはめた場合の値「１２３４５６７８９」を入力値として取り出す。

　続いて、部分領域５０ａに含まれる構造体について説明する。入出力検出部１５４は、型「ｉｎｔ^＊」を当てはめると、値が「１２３４５６７８９」となる。入出力検出部１５４は、型「ｉｎｔ^＊」を当てはめた場合の値（返り値）が「１２３４５６７８９」となり、入力値と一致（一致性が高いと判定）する。

　上記処理によって、入出力検出部１５４は、部分領域５０ａに型「ｃｈａｒ^＊」を当てはめ、部分領域５０ｂに型「ｉｎｔ^＊」を当てはめた場合の関係が、型変換であることを特定する。入出力検出部１５４は、入出力の関係にある変数として、部分領域５０ａ，５０ｂを特定する。時系列方向を７ａとすると、入力側の変数は、部分領域５０ａとなり、出力側の変数は、部分領域５０ｂとなる。

　図１６は、入出力検出部の処理手順を示すフローチャートである。図１６に示すように、入出力検出部１５４は、型変換関数の候補を取得する（ステップＳ５０）。入出力検出部１５４は、スクリプトエンジンバイナリ１４２を取得する（ステップＳ５１）。入出力検出部１５４は、テストスクリプト１４１を取得する（ステップＳ５２）。

　入出力検出部１５４は、実行トレースＤＢ１４３からテストスクリプト１４１に対応した実行トレースを取得する（ステップＳ５３）。入出力検出部１５４は、スクリプトエンジンバイナリ１４２の静的解析を実施し、変数の依存関係を収集する（ステップＳ５４）。

　入出力検出部１５４は、変数の依存関係に基づいて所定の方法で構造体の型を推定する（ステップＳ５５）。入出力検出部１５４は、テストスクリプト１４１の型変換の入力値を取得する（ステップＳ５６）。入出力検出部１５４は、メモリアクセストレースの書き込みから、入力値と一致性の高い引数および返り値の値を探索する（ステップＳ５７）。

　入出力検出部１５４は、異なる型でかつ一致性の高い値が見られた場合には（ステップＳ５８，Ｙｅｓ）、入出力の関係にある変数を伝播漏れ検出部１５５に出力する（ステップＳ５９）。一方、入出力検出部１５４は、異なる型でかつ一致性の高い値が見られない場合には（ステップＳ５８，Ｎｏ）、型変換関数の候補は型変換関数でない旨を出力する（ステップＳ６０）。

　なお、入出力検出部１５４は、テストスクリプト１４１の所定の関数に前述の「１２３４５６７８９」のような値が含まれていない場合も、入出力を検出する。その場合は、入出力検出部１５４は、探索する値を事前に決めずにそれぞれの変数を探索していき、異なる型で一致性の高い値の組であるという条件を満たしたものを、入出力として検出する。

　図１の説明に戻る。伝播漏れ検出部１５５は、型変換関数の入出力の関係にある変数の型変換関数に対してテイント解析を実行し、タグが伝播しない型変換関数を示す伝播漏れ関数を検出する。伝播漏れ検出部１５５は、伝播漏れ関数と、伝播漏れ関数の入出力の情報を、強制伝播ルール生成部１５６に出力する。

　図１７は、伝播漏れ検出部の処理を説明するための図である。伝播漏れ検出部１５５は、型変換関数の入力となる変数をソースとしてタグ５１を設定し、テイント解析を実行する。たとえば、伝播漏れ検出部１５５は、テイント解析ツール１４４を読み出して実行することで、テイント解析を実行する。伝播漏れ検出部１５５は、型変換関数の出力となる変数をシンクとしたとき、タグ５１が伝播されておらず、タグ５１が消失している場合には、入出力の関係にある変数の型変換関数を、伝播漏れ関数として検出する。

　図１８は、伝播漏れ検出部の処理手順を示すフローチャートである。図１８に示すように、伝播漏れ検出部１５５は、型変換関数とその入出力の変数とを取得する（ステップＳ７０）。伝播漏れ検出部１５５は、テイント解析ツール１４４を取得する（ステップＳ７１）。伝播漏れ検出部１５５は、テストスクリプトを取得する（ステップＳ７２）。

　伝播漏れ検出部１５５は、型変換関数の入力をテイントソースに設定し、出力をテイントシンクに設定する（ステップＳ７３）。伝播漏れ検出部１５５は、テイント解析ツールの上で実行しながら、テストスクリプトを実行する（ステップＳ７４）。

　伝播漏れ検出部１５５は、テイントシンクでタグが見られない場合には（ステップＳ７５，Ｎｏ）、型変換関数を、伝播漏れ関数として特定する（ステップＳ７６）。伝播漏れ検出部１５５は、テイントシンクでタグが見られる場合には（ステップＳ７５，Ｙｅｓ）、型変換関数が伝播漏れ関数ではないと判定する（ステップＳ７７）。

　図１の説明に戻る。強制伝播ルール生成部１５６は、伝播漏れ関数と、伝播漏れ関数の入出力の情報を基にして、強制伝播ルールを生成する。

　たとえば、強制伝播ルール生成部１５６は、伝播漏れ関数のバイナリ上のオフセットが0xとなる場合には、「func_offset=0x455af0」を生成する。伝播漏れ関数の入力が第一引数の場合には「in_arg_idx=0」を生成する。そして、たとえば、伝播漏れ関数の出力が返り値の場合には「out_arg_idx=-1」を生成する。また、たとえば、入力を構造体として解釈し、そのオフセットが+8のメンバ変数をchar*型として解釈すると入力値が得られる場合、「in_arg_type=STRUCT|OFF_8|CHAR_PTR」を生成し、出力を構造体として解釈し、そのオフセットが+16のメンバ変数をuint32t型として解釈すると出力値が得られる場合、「out_arg_type=STRUCT|OFF_16|UINT32」を生成する。

　図１９は、強制伝播ルール生成部の処理手順を示すフローチャートである。図１９に示すように、強制伝播ルール生成部１５６は、型変換関数とその入出力の変数とを取得する（ステップＳ８０）。

　強制伝播ルール生成部１５６は、各伝播漏れ関数について、強制伝播ルールを生成する（ステップＳ８１）。強制伝播ルール生成部１５６は、強制伝播ルールを、強制伝播ルールＤＢ１４５に格納する（ステップＳ８２）。

　図１の説明に戻る。テイント解析機能付与部１５７は、強制伝播ルールを基にして、スクリプトエンジンバイナリ１４２に、解析機能を付与する。

　テイント解析機能付与部１５７は、スクリプトエンジンバイナリ１４２を実行できるように設定し、強制伝播ルールの入力でタグの有無を確認するためのフックを設定し、強制伝播ルールの入力でタグがあった場合に、出力にタグを付与するフックを設定する。

　たとえば、テイント解析機能付与部１５７は、スクリプトエンジンバイナリ１４２によって、スクリプトを実行する際に、伝播漏れ関数の入力値を強制伝播ルールの記載に沿って参照し（強制伝播ルール「in_arg_idx」「in_arg_type」に対応）、タグが付与されている場合には、伝播漏れ関数の出力値を強制伝播ルールの記載に沿って参照し（強制伝播ルール「out_arg_idx」「out_arg_type」に対応）、タグを強制的に付与するように、スクリプトエンジンバイナリ１４２に解析機能を付与する。テイント解析機能付与部１５７は、かかる解析機能を付与したスクリプトエンジンバイナリ１４２を、スクリプト向けのテイント解析ツールとして出力する。

　図２０は、テイント解析機能付与部の処理手順を示すフローチャートである。図２０に示すように、テイント解析機能付与部１５７は、テイント解析ツール１４４を取得する（ステップＳ９０）。テイント解析機能付与部１５７は、スクリプトエンジンバイナリ１４２をテイント解析ツール１４４上で実行するように設定する（ステップＳ９１）。

　テイント解析機能付与部１５７は、強制伝播ルールＤＢ１４５から強制伝播ルールを取得する（ステップＳ９２）。テイント解析機能付与部１５７は、スクリプトエンジンバイナリ１４２に、強制伝播ルールの入力でタグの有無を確認するフックを設定する（ステップＳ９３）。

　テイント解析機能付与部１５７は、仮想機械バイナリに、強制伝播ルールの入力でタグがあった場合に、出力にタグを付与するフックを設定する（ステップＳ９４）。テイント解析機能付与部１５７は、強制伝播ルールＤＢの強制伝播ルールをすべて処理していない場合には（ステップＳ９５，Ｎｏ）、ステップＳ９２に移行する。

　テイント解析機能付与部１５７は、強制伝播ルールＤＢの強制伝播ルールをすべて処理した場合には（ステップＳ９５，Ｙｅｓ）、解析機能を付与したスクリプトエンジンバイナリ１４２を、スクリプト向けのテイント解析ツールとして出力する（ステップＳ９６）。

　次に、解析機能付与装置１００の処理手順について説明する。図２１は、本実施例に係る解析機能付与装置の処理手順を示すフローチャートである。図２１に示すように、解析機能付与装置１００の受付部１５１は、テストスクリプト１４１および仮想機械バイナリの入力を受け付ける（ステップＳ１０１）。

　解析機能付与装置１００の実行トレース取得部１５２は、実行トレース取得処理を実行する（ステップＳ１０２）。ステップＳ１０２に示す実行トレース取得処理は、図９に示した処理手順に対応する。

　解析機能付与装置１００の型変換関数検出部１５３は、型変換関数検出処理を実行する（ステップＳ１０３）。ステップＳ１０３に示す型変換関数検出処理は、図１２に示した処理手順に対応する。

　解析機能付与装置１００は、型変換関数の候補が検出されていない場合には（ステップＳ１０４）、処理を終了する。一方、解析機能付与装置１００は、型変換関数の候補が検出された場合には（ステップＳ１０４，Ｙｅｓ）、ステップＳ１０５に移行する。

　解析機能付与装置１００の入出力検出部１５４は、入出力検出処理を実行する（ステップＳ１０５）。ステップＳ１０５に示す入出力検出処理は、図１６に示した処理手順に対応する。

　解析機能付与装置１００は、入出力関係にある変数が検出されない場合には（ステップＳ１０６，Ｎｏ）、処理を終了する。一方、解析機能付与装置１００は、入出力関係にある変数が検出された場合には（ステップＳ１０６，Ｙｅｓ）、ステップＳ１０７に移行する。

　解析機能付与装置１００の伝播漏れ検出部１５５は、伝播漏れ検出処理を実行する（ステップＳ１０７）。ステップＳ１０７に示す伝播漏れ検出処理は、図１８に示した処理手順に対応する。

　解析機能付与装置１００は、伝播漏れが検出されていない場合には（ステップＳ１０８，Ｎｏ）、処理を終了する。一方、解析機能付与装置１００は、伝播漏れが検出された場合には（ステップＳ１０８，Ｙｅｓ）、ステップＳ１０９に移行する。

　解析機能付与装置１００の強制伝播ルール生成部１５６は、強制伝播ルール生成処理を実行する（ステップＳ１０９）。ステップＳ１０９に示す強制伝播ルール生成処理は、図１９に示した処理手順に対応する。

　解析機能付与装置１００は、テイント解析機能付与処理を実行する（ステップＳ１１０）。ステップＳ１１０に示すテイント解析機能付与処理は、図２０に示した処理手順に対応する。解析機能付与装置１００は、テイント機能が付与されたスクリプトエンジンバイナリ１４２を出力する（ステップＳ１１１）。

　次に、本実施例に係る解析機能付与装置１００の効果について説明する。解析機能付与装置１００は、テストスクリプト１４１をスクリプトエンジンバイナリ１４２に入力して実行することで、複数の実行トレースを取得し、複数の実行トレースを基にして、型変換関数の候補を検出する。解析機能付与装置１００は、型変換関数の候補に対して、構造体の静的解析と値の照合による探索を実行し、型変換関数の入出力を検出する。

　解析機能付与装置１００は、型変換関関数の入力と出力をソースとシンクとしたテイント解析により、伝播漏れを検出し、伝播漏れに対して強制伝播ルールを生成する。解析機能付与装置１００は、強制伝播ルールを用いて、スクリプトエンジンバイナリ１４２（スクリプトエンジン）にフックを施すことで強制的にタグを伝播させ、伝播漏れを解消し、テイント解析機能を付与する。

　これによって、バイナリのみしか手に入らないプロプライエタリなスクリプトエンジンに対しても、強制伝播ルールを生成し、人手でのリバースエンジニアリングを要することなく、テイント解析機能の付与を実現できる。

　これにより、解析機能付与装置では、スクリプトエンジンやスクリプト言語に対して個別の設計及び実装を要することなく、事前の内部実装の情報なしに、テイント解析を実現できる。

　解析機能付与装置１００では、スクリプト本体へのコード注入を要さないため、難読化された悪性スクリプトにもテイント解析を適用できる。

　解析機能付与装置１００では、バイナリ向けのテイント解析ツールの提供する命令レベルでのテイント解析をそのままスクリプトにも適用できるため、細粒度のテイント解析機能の付与を実現できる。

　解析機能付与装置１００は、入力側のテイントソースにタグを設定し、関数に関する処理（メモリの移動やコピー）に合わせてタグを伝播させていき、テイントシングにおいて、タグが出力されない場合に、型変換関数を伝播漏れ関数として検出する。これによって、伝播漏れを起こす型変換関数を検出することができる。

　解析機能付与装置１００は、強制伝播ルールを基にして、伝播漏れ関数の入力側の変数に入力したタグを、出力側の変数から強制的に出力させる機能を、スクリプトエンジンバイナリ１４２に付与することで、伝播漏れを抑止することができる。

　このように、解析機能付与装置１００によれば、スクリプトエンジンを解析し、テイント解析機能を後付けで付与することにより、多種多様なスクリプト言語のスクリプトエンジンに対して、悪性スクリプトの解析にも適した解析機能の自動的な付与を実現できる。

　上述したように、解析機能付与装置１００は、多種多様なスクリプト言語で記述される悪性スクリプトの挙動の解析に有用であり、悪性スクリプトに対して、難読化に影響されずに、テイント解析を実施することに適している。このため、解析機能付与装置１００は、様々なスクリプトエンジンにテイント解析機能を付与することで、悪性スクリプトのデータフローを解析し、検知などの対策に生かすことが可能である。

　ところで、上述した実施例１ではスクリプト言語およびスクリプトエンジンを対象とした説明を記述したが、対象は必ずしもこれらに限定しない。すなわち、解析機能付与装置１００は、ソースコードを入力としてバイトコードを生成し、それを仮想機械で解釈して実行する仕組みの言語処理系に対して、同様に構成することができる。そのため、たとえばJavaとその仮想機械のJVMのような、スクリプト言語でない言語および実行エンジンに対しても、実現され得る。

　図２２は、解析機能付与プログラムを実行するコンピュータの一例を示す図である。コンピュータ１０００は、例えば、メモリ１０１０と、ＣＰＵ１０２０と、ハードディスクドライブインタフェース１０３０と、ディスクドライブインタフェース１０４０と、シリアルポートインタフェース１０５０と、ビデオアダプタ１０６０と、ネットワークインタフェース１０７０とを有する。これらの各部は、バス１０８０によって接続される。

　メモリ１０１０は、ＲＯＭ（Read　Only　Memory）１０１１およびＲＡＭ１０１２を含む。ＲＯＭ１０１１は、例えば、ＢＩＯＳ（Basic　Input　Output　System）等のブートプログラムを記憶する。ハードディスクドライブインタフェース１０３０は、ハードディスクドライブ１０３１に接続される。ディスクドライブインタフェース１０４０は、ディスクドライブ１０４１に接続される。ディスクドライブ１０４１には、例えば、磁気ディスクや光ディスク等の着脱可能な記憶媒体が挿入される。シリアルポートインタフェース１０５０には、例えば、マウス１０５１およびキーボード１０５２が接続される。ビデオアダプタ１０６０には、例えば、ディスプレイ１０６１が接続される。

　ここで、ハードディスクドライブ１０３１は、例えば、ＯＳ１０９１、アプリケーションプログラム１０９２、プログラムモジュール１０９３およびプログラムデータ１０９４を記憶する。上記実施形態で説明した各情報は、例えばハードディスクドライブ１０３１やメモリ１０１０に記憶される。

　また、解析機能付与プログラムは、例えば、コンピュータ１０００によって実行される指令が記述されたプログラムモジュール１０９３として、ハードディスクドライブ１０３１に記憶される。具体的には、上記実施形態で説明した解析機能付与装置１００が実行する各処理が記述されたプログラムモジュール１０９３が、ハードディスクドライブ１０３１に記憶される。

　また、解析機能付与プログラムによる情報処理に用いられるデータは、プログラムデータ１０９４として、例えば、ハードディスクドライブ１０３１に記憶される。そして、ＣＰＵ１０２０が、ハードディスクドライブ１０３１に記憶されたプログラムモジュール１０９３やプログラムデータ１０９４を必要に応じてＲＡＭ１０１２に読み出して、上述した各手順を実行する。

　なお、解析機能付与プログラムに係るプログラムモジュール１０９３やプログラムデータ１０９４は、ハードディスクドライブ１０３１に記憶される場合に限られず、例えば、着脱可能な記憶媒体に記憶されて、ディスクドライブ１０４１等を介してＣＰＵ１０２０によって読み出されてもよい。あるいは、解析機能付与プログラムに係るプログラムモジュール１０９３やプログラムデータ１０９４は、ＬＡＮやＷＡＮ（Wide　Area　Network）等のネットワークを介して接続された他のコンピュータに記憶され、ネットワークインタフェース１０７０を介してＣＰＵ１０２０によって読み出されてもよい。

　以上、本発明者によってなされた発明を適用した実施形態について説明したが、本実施形態による本発明の開示の一部をなす記述および図面により本発明は限定されることはない。すなわち、本実施形態に基づいて当業者等によりなされる他の実施形態、実施例および運用技術等は全て本発明の範疇に含まれる。

　１００　　解析機能付与装置
　１１０　　通信制御部
　１２０　　入力部
　１３０　　出力部
　１４０　　記憶部
　１４１　　テストスクリプト
　１４２　　スクリプトエンジンバイナリ
　１４３　　実行トレースＤＢ
　１４４　　テイント解析ツール
　１４５　　強制伝播ルールＤＢ
　１５０　　制御部
　１５１　　受付部
　１５２　　実行トレース取得部
　１５３　　型変換関数検出部
　１５４　　入出力検出部
　１５５　　伝播漏れ検出部
　１５６　　強制伝播ルール生成部
　１５７　　テイント解析機能付与部

Claims

　テストスクリプトをスクリプトエンジンに入力して実行させることで、分岐命令およびメモリアクセスに関する複数の実行トレースを取得する実行トレース取得部と、
　前記複数の実行トレースを基にして類似する系列を特定し、特定した系列に含まれる関数呼び出しを型変換関数の候補として検出する型変換関数検出部と、
　前記実行トレースのうち、前記型変換関数の候補引数および返り値の変数から、入出力の関係にある変数を検出する入出力検出部と、
　前記型変換関数の入出力の関係にある変数の型変数関数に対してテイント解析を実行し、入出力間でタグが伝播しない型変数関数を示す伝播漏れ関数を検出する伝播漏れ検出部と、
　前記伝播漏れ関数に対して、前記タグを強制的に伝播させる強制伝播ルールを生成する生成部と、
　前記強制伝播ルールを基にして、前記スクリプトエンジンにテイント解析機能を付与する解析機能付与部と
　を備えることを特徴とする解析機能付与装置。
　前記伝播漏れ検出部は、入力側の変数にタグを設定し、前記型変換関数に関する処理に応じて、タグを伝播させていき、出力側の変数において、前記タグが出力されない場合に、前記型変換関数を、前記伝播漏れ関数として検出することを特徴とする請求項１に記載の解析機能付与装置。
　前記解析機能付与部は、前記強制伝播ルールを基にして、前記伝播漏れ関数の入力側の変数に入力したタグが、出力側の変数から出力される機能を、前記スクリプトエンジンに付与することを特徴とする請求項１または２に記載の解析機能付与装置。
　解析機能付与装置で実行される解析機能付与方法であって、
　テストスクリプトをスクリプトエンジンに入力して実行させることで、分岐命令およびメモリアクセスに関する複数の実行トレースを取得する実行トレース取得工程と、
　前記複数の実行トレースを基にして類似する系列を特定し、特定した系列に含まれる関数呼び出しを型変換関数の候補として検出する型変換関数検出工程と、
　前記実行トレースのうち、前記型変換関数の候補引数および返り値の変数から、入出力の関係にある変数を検出する入出力検出工程と、
　前記型変換関数の入出力の関係にある変数の型変数関数に対してテイント解析を実行し、入出力間でタグが伝播しない型変数関数を示す伝播漏れ関数を検出する伝播漏れ検出工程と、
　前記伝播漏れ関数に対して、前記タグを強制的に伝播させる強制伝播ルールを生成する生成工程と、
　前記強制伝播ルールを基にして、前記スクリプトエンジンにテイント解析機能を付与する解析機能付与工程と
　を含んだことを特徴とする解析機能付与方法。
　テストスクリプトをスクリプトエンジンに入力して実行させることで、分岐命令およびメモリアクセスに関する複数の実行トレースを取得する実行トレース取得手順と、
　前記複数の実行トレースを基にして類似する系列を特定し、特定した系列に含まれる関数呼び出しを型変換関数の候補として検出する型変換関数検出手順と、
　前記実行トレースのうち、前記型変換関数の候補引数および返り値の変数から、入出力の関係にある変数を検出する入出力検出手順と、
　前記型変換関数の入出力の関係にある変数の型変数関数に対してテイント解析を実行し、入出力間でタグが伝播しない型変数関数を示す伝播漏れ関数を検出する伝播漏れ検出部と、
　前記伝播漏れ関数に対して、前記タグを強制的に伝播させる強制伝播ルールを生成する生成手順と、
　前記強制伝播ルールを基にして、前記スクリプトエンジンにテイント解析機能を付与する解析機能付与手順と
　をコンピュータに実行させることを特徴とする解析機能付与プログラム。