メモリ安全性

メモリアクセス関連のバグから保護されている状態

メモリ安全性 (メモリあんぜんせい、英語: Memory safety) は、バッファオーバーフローダングリングポインタ英語版などの、RAMアクセス時に発生するバグセキュリティホールなどから保護されている状態のことである[1]。例えば、Java実行時エラー検出英語版で配列の境界とポインタの参照外しを確認するので、メモリ安全であると言われている[1]。対照的に、CC++境界チェック英語版を行わないメモリアドレスを直接参照するポインタを使用した任意のポインタ演算が可能なので[2]、メモリ安全ではない[3]

歴史

編集

メモリエラーは資源管理及びタイムシェアリングシステムFork爆弾などの問題を回避するために検討されたことが始まりである[4]Fingerプロトコルでのバッファオーバーフローを悪用したモリスワームが登場するまでは、これは殆ど理論上の存在であった[5]。その後、コンピュータセキュリティの分野は急速に発展し、Return-to-libc攻撃などの多くの新たなサイバー攻撃手法が次々と誕生し、これに対する防御手法として実行保護[6]アドレス空間配置のランダム化などの技術が開発された。アドレス空間配置のランダム化は殆どのバッファオーバーフロー攻撃を防ぎ、攻撃者がアドレスを取得する際に、ヒープスプレー英語版かその他のアプリケーションに依存する方法を利用することを必要とさせるものであるが、これが採用されるまでには長い時間を必要とした[5]。但し、これらの技術が利用されるのは、ライブラリとスタックの場所をランダムにするときに限定されることが一般的である。

手法

編集

DieHard[7]及びこれの再設計であるDieHarder[8]Arm DDT英語版は、自身のランダム仮想メモリページにオブジェクトを割り当てる特別なヒープアロケータであり、無効な読み取りと書き込みを停止し、これを引き起こす命令の詳細までデバッグすることができる。この保護はハードウェアのメモリ保護に依存しているので、オーバーヘッドはそれほど大きくないことが通常であるが、プログラムで割り当てを多用した場合には大きくなる可能性がある[9]。アドレス空間配置のランダム化はメモリエラーに対する確率的保護のみを提供するが、多くの場合、既存のソフトウェアにバイナリを再リンクすることで容易に実装することができる。

ValgrindのMemcheckツールは、命令セットシミュレータを使用してメモリチェック仮想マシンでコンパイル済みのプログラムを実行し、実行時メモリエラーのサブセットの検出を保証する。但し、一般的にプログラムの実行速度が40倍遅くなる[10]。更に、カスタムメモリアロケータを明示的に通知する必要がある[11][12]

ソースコードにアクセスすることによって、ポインタに対する正当な値 (メタデータ) を収集及び追跡し、各ポインタアクセスがメタデータに対して有効なものであるのかを検証するBoehm garbage collector英語版などのライブラリが存在する[13]。一般的に、メモリ安全性はガベージコレクションのトレースと、全てのメモリアクセスで実行時検証を行うことによって保証することができる。この手法にはオーバーヘッドがあるが、Valgrindの手法よりは少ない。ガベージコレクションを採用している全ての言語がこの手法を採用している[1]。CとC++では、実行時にメモリ安全性の検証を行うためにコードのコンパイル時変換を実行するCheckPointer[14]AddressSanitizer英語版などの多くのツールが存在し、これらを使用した場合に実行速度が2倍遅くなる[15]

他の手法としては、静的コード解析自動定理証明を使用して、プログラムにメモリエラーがないことを確認する方法がある。例えば、Rustはメモリ安全性を確保するためにボローチェッカーを実装している[16]CoverityなどのツールはCで静的コード解析を提供する[17]。C++のスマートポインタは、この手法の限定的な形式である。

境界チェック

編集

境界チェック英語版は操作が境界(範囲)を超えているか否かを検査する機能である。配列アクセス時のインデックスチェック (index checking) が有名である。検査は実行時におこなわれる場合が多い(コンパイル時の完全な境界チェックは実用段階に至っていない)。実行時境界チェックによる例外を用いることで、バッファオーバーフローをはじめとした多くのメモリアクセスに対して安全性が得られる。

メモリエラーの種類

編集

様々な種類のメモリエラーが発生する可能性がある[18][19]:

  • アクセスエラー: ポインタの無効な読み取りと書き込み
  • 未初期化変数英語版: 定義されていない変数を使用した場合、望ましくない値が代入されたり、一部の言語では破損した値が代入される場合がある
    • ヌルポインタの参照外し - 無効なポインタ又は割り当てられていないメモリへのポインタの参照外し。
    • ワイルドポインタ英語版 - 何らかの既知の状態への初期化前にポインタが使用されると発生する。検出されないままになる可能性は低いが、ダングリングポインタと同じように不規則な動作をする。
  • メモリリーク: メモリ使用量が追跡されていない又は誤って追跡されている場合
    • スタックの枯渇 - 一般的に、深すぎる再帰呼出しによってプログラムがスタック領域を使い果たした場合に発生する。通常、ガードページはプログラムを停止し、メモリが破壊されることを防ぐが、スタックフレームが大きな関数ではページをバイパスする場合がある。
    • ヒープの枯渇英語版 - プログラムが利用可能なメモリよりも多くのメモリを確保しようとする。一部の言語では、確保後にこの状態を手動で確認する必要がある。
    • 二重解放 - freeを繰り返し呼び出すと、同じアドレスにある新しいオブジェクトが早期解放される場合がある。正確なアドレスが再利用されていない場合、他の破壊が発生する可能性があり、特にFree list英語版を使用するアロケータでは可能性が高い。
    • 無効な解放 - 無効なアドレスをfreeに渡すと、ヒープが破壊される可能性がある。
    • 不一致な解放 - 複数のアロケータが使用されている場合、異なるアロケータの解放用の関数でメモリを解放しようとする[20]
    • 不要なエイリアシング英語版 - 無関係な目的のためにメモリロケーションが2回割り当て及び変更される場合。

脚注

編集
  1. ^ a b c Dhurjati, Dinakar; Kowshik, Sumant; Adve, Vikram; Lattner, Chris (2003-01-01). “Memory Safety Without Runtime Checks or Garbage Collection” (英語). Proceedings of the 2003 ACM SIGPLAN Conference on Language, Compiler, and Tool for Embedded Systems (ACM): 69–80. doi:10.1145/780732.780743. https://llvm.org/pubs/2003-05-05-LCTES03-CodeSafety.pdf 2019年10月26日閲覧。. 
  2. ^ How C Makes It Hard To Check Array Bounds”. Dr. Dobb's. 2019年8月7日時点のオリジナルよりアーカイブ。2017年3月13日閲覧。
  3. ^ Akritidis, Periklis (2011-06). Practical memory safety for C. University of Cambridge, Computer Laboratory. ISSN 1476-2986. UCAM-CL-TR-798. https://www.cl.cam.ac.uk/techreports/UCAM-CL-TR-798.pdf 2019年10月26日閲覧。. 
  4. ^ Anderson, James P. Computer Security Planning Study. 2. Electronic Systems Center英語版. ESD-TR-73-51. http://seclab.cs.ucdavis.edu/projects/history/papers/ande72.pdf 2019年10月26日閲覧。. 
  5. ^ a b van der Veen, Victor; dutt-Sharma, Nitish; Cavallaro, Lorenzo; Bos, Herbert. “Memory Errors: The Past, the Present, and the Future”. Lecture Notes in Computer Science 7462 (RAID 2012): 86–106. doi:10.1007/978-3-642-33338-5_5. https://www.isg.rhul.ac.uk/sullivan/pubs/tr/technicalreport-ir-cs-73.pdf 2019年10月26日閲覧。. 
  6. ^ Defeating Solar Designer's Non-executable Stack Patch”. insecure.org. 2019年10月26日閲覧。
  7. ^ Berger, Emery D; Zorn, Benjamin G (2006-01-01). “DieHard: Probabilistic Memory Safety for Unsafe Languages” (英語). Proceedings of the 27th ACM SIGPLAN Conference on Programming Language Design and Implementation (ACM): 158–168. doi:10.1145/1133981.1134000. https://people.cs.umass.edu/~emery/pubs/fp014-berger.pdf 2019年10月26日閲覧。. 
  8. ^ Novark, Gene; Berger, Emery D (2010-01-01). “DieHarder: Securing the Heap”. Proceedings of the 17th ACM Conference on Computer and Communications Security (ACM): 573–584. doi:10.1145/1866307.1866371. https://people.cs.umass.edu/~emery/pubs/ccs03-novark.pdf 2019年10月26日閲覧。. 
  9. ^ Memory Debugging in Allinea DDT”. 2015年2月3日時点のオリジナルよりアーカイブ。2019年10月26日閲覧。
  10. ^ Using Valgrind's Memcheck Tool to Find Memory Errors and Leaks”. computing.llnl.gov. 2018年11月7日時点のオリジナルよりアーカイブ。2017年3月13日閲覧。
  11. ^ Memcheck: a memory error detector” (英語). Valgrind User Manual. valgrind.org. 2019年10月26日閲覧。
  12. ^ Why custom allocators/pools are hard”. Proper Fixation. 2019年10月26日閲覧。
  13. ^ Using the Garbage Collector as Leak Detector” (英語). www.hboehm.info. 2019年10月26日閲覧。
  14. ^ Semantic Designs: CheckPointer compared to other safety checking tools”. www.semanticdesigns.com. Semantic Designs, Inc.. 2019年10月26日閲覧。
  15. ^ AddressSanitizerPerformanceNumbers”. GitHub. 2019年10月26日閲覧。
  16. ^ Validating References with Lifetimes” (英語). The Rust Programming Language. doc.rust-lang.org. 2019年10月26日閲覧。
  17. ^ Bessey, Al; Engler, Dawson; Block, Ken; Chelf, Ben; Chou, Andy; Fulton, Bryan; Hallem, Seth; Henri-Gros, Charles et al. (2010-02-01). “A few billion lines of code later”. Communications of the ACM 53 (2): 66–75. doi:10.1145/1646353.1646374. https://cacm.acm.org/magazines/2010/2/69354-a-few-billion-lines-of-code-later/fulltext 2019年10月26日閲覧。. 
  18. ^ How to Avoid, Find (and Fix) Memory Errors in your C/C++ Code”. Cprogramming.com. 2019年10月26日閲覧。
  19. ^ CWE-633: Weaknesses that Affect Memory” (英語). Community Weakness Enumeration. MITRE. 2019年10月26日閲覧。
  20. ^ CWE-762: Mismatched Memory Management Routines” (英語). Community Weakness Enumeration. MITRE. 2019年10月26日閲覧。