【ITニュース解説】CVE-2024-29415: problem solution

世の中の多くのITシステムは、小さな部品のようなソフトウェアの塊である「パッケージ」を組み合わせて作られている。今回注目する話題は、そのようなパッケージの一つである「ip」という、IPアドレスを扱うための非常に広く使われているパッケージに、セキュリティ上の問題（脆弱性）が発見されたことに関する解決策とその背景についてだ。この問題はCVE-2024-29415という識別番号が付けられている。

IPアドレスとは、インターネットに接続された機器それぞれに割り振られた、住所のようなものだ。Webサイトの閲覧やデータの送受信など、あらゆるネットワーク通信でこのIPアドレスが使われている。そのため、IPアドレスの処理を行うパッケージに問題があると、システムの安定性やセキュリティに大きな影響を与える可能性がある。

今回の「ip」パッケージの問題は、主にIPアドレスの「分類」と「フォーマット解釈」の不正確さから生じていた。具体的には、あるIPアドレスがプライベートネットワーク用かパブリックネットワーク用かといった分類や、IPアドレスの記述形式が正しいかどうかの判断が厳密ではなかったため、想定外のIPアドレスが入力された場合に誤った処理をしてしまう可能性があった。さらに、IPアドレスを解析する内部のロジックが、いくつかの補助的な機能に分かれており、それらが様々な記法のアドレスを解析する際に異なる組み合わせ方で使われていたため、複雑でバグが入り込みやすい構造になっていたことも問題を難しくしていた。

このような脆弱性が発見された場合、システム開発者はいくつかの対処法を検討することになる。パッケージの作者に修正を依頼する、自分で修正案を提案する、自分のシステムだけで一時的に修正（パッチ）を適用する、あるいは別の代替パッケージへ移行するといった選択肢がある。しかし、多くのシステムで使われているパッケージほど、その修正や置き換えには大きな労力とコストがかかるのが実情だ。今回の記事の筆者たちは、このパッケージが多くの別のパッケージに依存されていたため、修正が連鎖的に必要となり、あまりにもコストがかかることから、自分たちで完全に互換性のある新しい代替パッケージを作成するという道を選んだ。

新しいパッケージ開発における最初の大きな挑戦は、既存の「ip」パッケージが抱えていた技術的な問題を根本的に解決することだった。特に「アルゴリズム」と呼ばれる処理手順の改善が求められた。当初、IPアドレスの解析条件を単に厳しくするだけでは、処理速度が大幅に低下するという問題に直面した。そこで、より効率的な解析方法を追求し、IPアドレスの文字列を効率的に読み解くための新しい手法を段階的に導入することで、処理速度を維持しつつ厳密な解析を実現した。

次に、IPアドレスをプログラム内でどのように「保存」し、「比較」するかという内部構造に大きな変更を加えた。古いシステムでは「Buffer」と呼ばれるメモリの塊を使ってIPアドレスを表現することがあったが、新しい実装では「bigint」（大きな整数）というデータ型を採用した。bigintを使うことで、IPアドレス、特に非常に長い文字列になるIPv6アドレスを、一つの大きな数値としてシンプルに扱うことが可能になった。これにより、IPアドレス同士の比較や、IPv4とIPv6の間でのフォーマット変換といった処理が格段に簡単になり、高速化された。特に、IPアドレスのネットワーク範囲を特定する「マスク」や「サブネット」といった重要な機能において、IPv6の完全なサポートが容易に実現できるようになったことは大きな進歩だ。

さらに、特定の意味を持つIPアドレスの範囲（例えば、自分自身を示す「ループバックアドレス」や、予約されたアドレス範囲など）をどのように扱うかという点も改善された。これまでは、さまざまな補助機能の中に「マジックナンバー」のように特定の条件が散りばめられていたが、これを一箇所に集約した「信頼できる情報源」として管理するように変更した。そして、この情報源をもとに、IPアドレスが特定の範囲に属するかどうかを効率的に判定する関数を事前に準備しておくことで、コードの可読性が高まり、将来的な修正や機能追加も容易になった。

新しい代替パッケージを開発する上で最も重要だったことの一つは、「後方互換性」を確保することだった。これは、既存のシステムが新しいパッケージに置き換わっても、これまで通り問題なく動作することを意味する。この互換性を保証するために、元の「ip」パッケージが持っていたテストの仕組み（テストスイート）をそのまま流用し、全てのテストがパスすることを確認した。また、他のIPアドレス関連のツールがどのように動作するかを徹底的に調査し、さまざまなシナリオで同等の動作結果が得られるように調整を行った。さらに、Webブラウザを含む異なる実行環境（ランタイム）や、複数のバージョン間でパッケージの機能が安定して動作することも確認するため、「ポリフィル」（古い環境で新しい機能を使えるようにする仕組み）や多数の「健全性テスト」を実施し、品質の維持に努めた。

この新しいパッケージを既存のシステムに「簡単に組み込める」ことも、重要な開発目標だった。大規模なプロジェクトでは、依存しているパッケージを一つ変更するだけでも、プロジェクト全体にわたる大規模なコード修正が必要になる場合がある。そこで、JavaScriptのエコシステムが提供するpackage.jsonのoverrides（オーバーライド）やresolutions（解決策）といった機能を利用することで、開発者が既存のコードを大きく変更することなく、問題のある「ip」パッケージを新しい@webpod/ipパッケージに置き換えられるようにした。これにより、システムエンジニアは、たとえ既存のコードが古い記述方法を使っていたとしても、新しいパッケージを比較的容易に導入できるようになった。

最終的な目標は、今回開発された改善されたコードを、元の「ip」パッケージの作者に提案し、その本流（アップストリーム）に統合してもらうことだ。これにより、IPアドレス処理の品質が全体的に向上し、依存関係が複雑になることも避けられる。しかし、それが実現するまでの間は、この@webpod/ipという新しいパッケージが、IPアドレス処理の安定性とセキュリティを確保するための強力な代替手段として利用できるだろう。