[C言語のはじめ方] Part38: バッファオーバーフローと対策

安全なC言語プログラミングのために知っておきたい重要な脆弱性

はじめに：バッファオーバーフローって何？ 🤔

バッファオーバーフロー（Buffer Overflow）は、プログラムが用意したメモリ領域（バッファ）に、その容量を超えるデータが書き込まれてしまう脆弱性（ぜいじゃくせい）のことです。バッファは、データを一時的に保管しておくための箱のようなものです。この箱の大きさ以上に物を詰め込もうとすると、中身が溢れ出してしまいますよね？それと同じことがメモリ上で起こるのがバッファオーバーフローです。

特にC言語やC++のように、メモリ管理をプログラマが直接行う言語では、この問題が発生しやすいとされています。なぜこの問題が重要かというと、単にプログラムが異常終了するだけでなく、攻撃者によって意図しないコード（悪意のあるプログラム）を実行されたり、システムの制御を奪われたりする可能性があるからです。過去には、この脆弱性を突かれてウェブサイトが改ざんされたり、サービスが停止したりする事件も発生しています。

😨 バッファオーバーフローは、プログラムの予期せぬ動作や、深刻なセキュリティ問題を引き起こす可能性のある、非常に危険な脆弱性なのです。

バッファオーバーフローの仕組み

バッファオーバーフローは、主にデータを格納するメモリ領域の種類によって、スタックベースとヒープベースの2つに大別されます。ここでは、特に発生しやすく理解しやすいスタックベースのバッファオーバーフローを中心に説明します。

スタックベースのバッファオーバーフロー (Stack-based Buffer Overflow)

関数が呼び出されると、その関数内で使われるローカル変数や、関数が終わった後に戻るべき場所（リターンアドレス）などが「スタック」と呼ばれるメモリ領域に積まれていきます。スタック領域に確保されたバッファ（例えば文字配列）に対して、そのサイズを超えるデータが書き込まれると、隣接するメモリ領域にあるデータ、特にリターンアドレスが上書きされてしまう可能性があります。

以下のCコードは、スタックベースのバッファオーバーフローを引き起こす可能性のある典型的な例です。


#include <stdio.h>
#include <string.h>

// サイズチェックを行わない危険な関数
void vulnerable_function(char *input) {
    char buffer; // 10バイトのバッファ (NULL文字含む)

    // strcpyはバッファサイズを考慮しないため危険！
    strcpy(buffer, input);

    printf("入力された文字列: %s\n", buffer);
    // 関数終了時、スタック上のリターンアドレスを使って呼び出し元に戻る
}

int main(int argc, char *argv[]) {
    if (argc < 2) {
        printf("使い方: %s <10文字未満の文字列>\n", argv);
        return 1;
    }

    // コマンドライン引数をそのまま関数に渡す
    vulnerable_function(argv);

    printf("正常終了しました。\n");
    return 0;
}

このコードでは、vulnerable_function 内で10バイトの buffer が確保されています。しかし、strcpy 関数はコピー先のバッファサイズをチェックしません。そのため、もしコマンドライン引数 (argv) として10バイト以上の文字列が与えられると、buffer を超えてデータが書き込まれ、スタック上にある他のデータ（リターンアドレスなど）が破壊されてしまいます。

💥 例えば、./a.out AAAAAAAAAAAAAAAAAAAA (Aが20個) のように実行すると、buffer のサイズを大幅に超えたデータが書き込まれ、リターンアドレスが不正な値で上書きされる可能性が高いです。これにより、プログラムがクラッシュしたり、意図しない場所に処理が飛んだりします。

ヒープベースのバッファオーバーフロー (Heap-based Buffer Overflow)

ヒープは、プログラム実行中に動的にメモリを確保・解放する際に使われる領域です（malloc などで確保したメモリ）。ヒープ領域で確保したバッファに対してオーバーフローが発生すると、隣接する他のデータや、メモリ管理情報（どのメモリが使われているかなどを管理する情報）が破壊される可能性があります。ヒープベースの攻撃はスタックベースに比べて複雑になることが多いですが、同様に深刻な問題を引き起こす可能性があります。

バッファオーバーフローが引き起こす問題 😱

バッファオーバーフローが発生すると、以下のような深刻な問題が引き起こされる可能性があります。

プログラムの異常終了（クラッシュ）: メモリ上の重要なデータ（リターンアドレスなど）が破壊されることで、プログラムが正常な動作を続けられなくなり、強制終了してしまうことがあります。
意図しないサービス停止 (DoS): プログラムがクラッシュすることで、提供していたサービスが停止してしまう可能性があります（サービス妨害攻撃）。
任意のコード実行: これが最も危険な影響です。攻撃者は、バッファオーバーフローを利用して、リターンアドレスを自分が用意した悪意のあるコード（シェルコードなど）のアドレスに書き換えることがあります。これにより、関数終了時にその悪意のあるコードが実行され、システムが乗っ取られたり、機密情報が盗まれたりする可能性があります。
管理者権限の奪取: 攻撃者が任意のコードを実行できるようになると、システムの管理者権限を不正に取得しようとすることがあります。
他のシステムへの攻撃の踏み台化: 乗っ取られたシステムが、さらに他のシステムを攻撃するための踏み台として悪用されることもあります。

どうやって攻撃されるの？ (概念)

スタックベースのバッファオーバーフロー攻撃の基本的な流れは以下のようになります。

脆弱な入力箇所を見つける: 攻撃者は、プログラムの中でバッファサイズをチェックせずにデータを受け入れている箇所（例: gets, strcpy, サイズ指定のない scanf("%s", ...) など）を探します。
悪意のあるペイロードを作成する: 攻撃者は、バッファを溢れさせるのに十分な長さのデータ（パディング）と、実行させたい悪意のあるコード（シェルコード）、そしてそのシェルコードの開始アドレスで上書きするための偽のリターンアドレスを組み合わせたペイロード（攻撃用データ）を作成します。
ペイロードを送り込む: 作成したペイロードを、脆弱な入力箇所からプログラムに送り込みます。
リターンアドレスの上書き: プログラムがペイロードを受け取ると、バッファオーバーフローが発生し、スタック上の本来のリターンアドレスが、攻撃者の指定した偽のリターンアドレス（シェルコードの場所を指すアドレス）に書き換えられます。
悪意のあるコードの実行: 関数が終了し、書き換えられたリターンアドレスに処理が戻ろうとすると、攻撃者の用意したシェルコードが実行されてしまいます。

💡 これはあくまで基本的な概念です。実際には、後述するOSやコンパイラの保護機能を回避するための様々なテクニックが存在します。

C言語における対策 ✨

幸いなことに、バッファオーバーフローを防ぐための方法はいくつもあります。プログラマが注意深くコーディングすること、そしてOSやコンパイラが提供する保護機能を活用することが重要です。

1. 安全な関数の利用

C言語の標準ライブラリには、バッファオーバーフローを引き起こしやすい危険な関数が存在します。これらの関数の代わりに、バッファサイズを指定できる安全な代替関数を使用することが非常に重要です。

危険な関数 🚫	代替となる安全な関数 ✅	簡単な説明
`gets()`	`fgets()`	読み込む最大文字数を指定できるため、`gets()` は絶対に使用しないでください。`fgets()` は改行文字も読み込む点に注意が必要です。
`strcpy()`	`strncpy()`, `strlcpy()`	コピーする最大文字数を指定できます。`strncpy()` は指定サイズぴったりコピーした場合にNULL終端しないことがあるため注意が必要です。可能であれば、常にNULL終端を保証する `strlcpy()` (利用可能なら) の使用が推奨されます。
`strcat()`	`strncat()`, `strlcat()`	追記する最大文字数を指定できます。`strncat()` もNULL終端しない可能性があるので注意が必要です。`strlcat()` (利用可能なら) が推奨されます。
`sprintf()`	`snprintf()`	書き込む最大文字数（バッファサイズ）を指定できます。バッファオーバーフローを防ぐ上で非常に有効です。
`scanf("%s", buf)`	`scanf("%9s", buf)` (サイズ指定), `fgets()` + `sscanf()`	`scanf` で `%s` を使う場合、`%Ns` のように読み込む最大文字数を指定します（Nはバッファサイズ – 1）。より安全なのは `fgets()` で行ごと読み込み、その後 `sscanf()` などで解析する方法です。

安全な入力処理の例 (fgets):


#include <stdio.h>
#include <string.h>

#define BUFFER_SIZE 20

int main() {
    char name[BUFFER_SIZE];

    printf("お名前を入力してください (最大%d文字): ", BUFFER_SIZE - 1);

    // fgetsで安全に入力読み込み (stdinはキーボード入力)
    if (fgets(name, sizeof(name), stdin) != NULL) {
        // fgetsは改行文字も読み込むので、末尾の改行文字をNULL文字に置き換える
        name[strcspn(name, "\n")] = '\0';

        printf("こんにちは、%sさん！\n", name);
    } else {
        printf("入力エラーです。\n");
    }

    return 0;
}

📝 fgets() は指定したサイズ-1文字まで読み込み、必ずNULL文字で終端してくれるため安全です。ただし、入力がバッファサイズを超えた場合、残りの入力が入力ストリームに残る可能性がある点や、改行文字も読み込む点に注意して扱う必要があります。

2. 境界チェック (Boundary Check)

配列やバッファにアクセスする際には、インデックス（添え字）が配列の範囲内に収まっているか、書き込むデータの長さがバッファサイズを超えていないかを常に確認する習慣をつけましょう。特にループ処理の中で配列を操作する場合に注意が必要です。


#include <stdio.h>

#define ARRAY_SIZE 5

int main() {
    int data[ARRAY_SIZE];
    int i;

    // 配列の範囲を超えないようにループ条件を設定
    for (i = 0; i < ARRAY_SIZE; i++) {
        data[i] = i * 10;
        printf("data[%d] = %d\n", i, data[i]);
    }

    // 意図しない範囲へのアクセスを防ぐ (例: data などはNG)

    return 0;
}

3. コンパイラやOSによる保護機能の活用

最近のコンパイラやOSには、バッファオーバーフロー攻撃を緩和するための保護機能が搭載されています。これらの機能を有効にすることで、脆弱性が存在した場合でも攻撃の成功を防いだり、検知したりすることができます。

Canary (カナリア / スタックカナリア / SSP):
関数呼び出し時に、リターンアドレスの前に「カナリア」と呼ばれるランダムな値を挿入します。関数から戻る際にこのカナリアの値が変化していれば、バッファオーバーフローによってリターンアドレスが改ざんされた可能性があると判断し、プログラムを強制終了させます。GCCでは -fstack-protector や -fstack-protector-all オプションで有効になります。
ASLR (Address Space Layout Randomization):
プログラム実行時に、スタック、ヒープ、ライブラリなどのメモリ配置アドレスをランダム化する技術です。これにより、攻撃者がリターンアドレスやシェルコードの正確なアドレスを予測することが困難になります。
DEP (Data Execution Prevention) / NXビット (No-Execute bit):
メモリのデータ領域（スタックやヒープなど）に書き込まれたコードを実行できないようにする機能です。攻撃者がシェルコードを注入しても、それを実行させないようにします。ハードウェア (CPU) レベルでの対応 (NXビット/XDビット) とソフトウェアレベルでの実装があります。

✅ これらの保護機能は、開発者が意識しなくてもOSやコンパイラのデフォルト設定で有効になっていることが多いですが、開発環境やコンパイルオプションを確認し、適切に活用することが推奨されます。

4. 入力検証 (Input Validation)

外部（ユーザー入力、ファイル、ネットワークなど）から受け取るデータは、常に信頼できないものとして扱います。受け取ったデータが期待する形式や長さ、文字種などに合っているかを厳密にチェック（検証）し、不正なデータや長すぎるデータは受け付けないようにします。また、特殊文字などを無害化（サニタイズ）することも重要です。

5. メモリ安全な言語の検討

可能であれば、Java, Python, Rust, Go といった、言語レベルでメモリ管理を安全に行い、バッファオーバーフローのようなメモリエラーが原理的に発生しにくい「メモリ安全な言語」の使用を検討することも有効な対策です。ただし、C/C++で書かれたライブラリを使用する場合は、そのライブラリ自体に脆弱性がないか注意が必要です。

まとめ 📚

バッファオーバーフローは、C言語プログラミングにおいて注意すべき重要な脆弱性の一つです。この脆弱性を悪用されると、プログラムの停止だけでなく、システムの乗っ取りなど深刻な被害につながる可能性があります。

以下の点を常に意識して、安全なコーディングを心がけましょう。

✅ gets, strcpy などの危険な関数を避け、fgets, snprintf, strncpy/strlcpy などの安全な代替関数を使う。
✅ 配列やバッファの境界チェックを徹底する。
✅ OSやコンパイラの保護機能 (Canary, ASLR, DEP) を活用する。
✅ 外部からの入力は常に検証・サニタイズする。

セキュリティは一朝一夕に身につくものではありません。常に最新の情報を学び、安全なプログラムを作成する意識を持つことが大切です。💪

参考情報

より深く学習したい場合は、以下の情報源も参考にしてください。

情報処理推進機構 (IPA) – 安全なウェブサイトの作り方 – 1.10 バッファオーバーフロー: https://www.ipa.go.jp/security/vuln/websecurity/bof.html
情報処理推進機構 (IPA) – セキュア・プログラミング講座 C/C++言語編第10章著名な脆弱性対策: https://www.ipa.go.jp/security/archive/vuln/programming/2007/c/c10.html
OWASP – Buffer Overflow Attack: https://owasp.org/www-community/attacks/Buffer_Overflow
OWASP – Testing for Buffer Overflow: https://owasp.org/www-project-web-security-testing-guide/latest/4-Web_Application_Security_Testing/11-Client-side_Testing/04-Testing_for_Buffer_Overflow
CISA – Secure by Design Alert: Eliminating Buffer Overflow Vulnerabilities: https://www.cisa.gov/news-events/alerts/2024/02/12/secure-design-alert-eliminating-buffer-overflow-vulnerabilities

※ 上記URLは2025年3月30日時点のものです。リンク切れの場合はご了承ください。