バッファオーバーフロー
【buffer over-flow】
（バッファオーバーラン）

01.5.2更新

buffer over-run

様々なアプリケーションソフトに共通する代表的なセキュリティホールの一つ。また、バッファオーバーフローを悪用して遠隔地からコンピュータを乗っ取ること。

C++言語などのプログラミング言語で書かれたプログラムでは、プログラムが確保したメモリサイズを越えて文字列が入力されると領域があふれて(オーバーフロー)しまい、予期しない動作が起きる。

バッファオーバーフローを悪用した不正アクセスを行うには高度な知識が必要だが、成功するとバッファオーバーフローを引き起こしたプログラムが持っているアクセス権の範囲で任意の動作を行うことが可能となる。

一般にWebサーバなど、インターネット経由でサービスを提供するプログラムは管理者権限で稼動しているため、こういったプログラムのバッファオーバーフローを使われてしまうと、不正侵入者に管理者権限を奪われることもある。

バッファオーバーフローによる被害の危険を抑えるには、セキュリティホール関連の情報を頻繁にチェックし、ソフトウェアメーカー等から提供される修正プログラムをなるべく速やかに適用することが重要である。

現在インターネット上で稼動しているほとんどのサーバソフトウェアは、過去のバージョンでバッファオーバーフロー問題が発見され、修正された経緯がある。

これほど問題が頻発する原因は、稼動速度を重視するあまり、メモリ保護などがなおざりにされてきたプログラミング言語の仕様やソフトウェア開発の手法にあると言われる。

昨今ではコンピュータの性能が向上したことやネットワーク接続が一般化したことを背景に、バッファオーバーフロー対策が施されたライブラリが配布されるようになっている。

▼ 文中の用語