DEP 【Data Execution Prevention】 データ実行防止

概要

DEP(Data Execution Prevention)とは、Windowsのセキュリティ機能の一つで、データ領域に記録されたデータをプログラムとして実行されるのを防ぐ機能。Windows XP SP2以降のすべてのWindowsに内蔵されている。

コンピュータのCPU(マイクロプロセッサ)のNXビットXDビット)などの機能を利用するハードウェアDEPと、これらがなくても利用できるソフトウェアDEPの2種類がある。現在はほとんどのx86/x64プロセッサがXD/NXビットに対応しており、ハードウェアDEPが有効になっている。

いずれのDEPもその存在を前提としない古いプログラムなどの中には正常に動作しなくなるものがあり、起動時にBIOS/UEFIの設定を変更したり、Windowsコントロールパネルからシステム設定を変更することで利用者がオンとオフを切り替えられるようになっている。

ハードウェアDEP

メモリの中でデータを格納するために用意された領域に専用の印を付けることにより、記録された内容を誤ってプログラムとして実行するのを防止する。

これにより、データ受信・入力用に設けられたメモリ領域に長大なデータを送りつけて溢れさせ、不正にコードを実行させるバッファオーバーフロー攻撃を防ぐことができる。

ソフトウェアDEP (SafeSEH:Safe Structured Exception Handling)

SafeSEHとも呼ばれ、プログラムの実行時に例外を処理するハンドラと呼ばれるコードがデータ領域にあることを検知すると実行せずにプログラムを異常終了する。

プログラムが利用するデータを格納するヒープと呼ばれる領域に偽の例外処理コードを置いて実行するよう仕向けるSEHオーバーライトと呼ばれる種類の攻撃を防ぐことができる。開発時にプログラムに関数の一覧が登録されている場合に機能するもので、すべてのプログラムを保護できるわけではない。

(2018.7.24更新)

他の辞典による解説 (外部サイト)

この記事の著者 : (株)インセプト IT用語辞典 e-Words 編集部
1997年8月より「IT用語辞典 e-Words」を執筆・編集しています。累計公開記事数は1万ページ以上、累計サイト訪問者数は1億人以上です。学術論文や官公庁の資料などへも多数の記事が引用・参照されています。