整数オーバーフロー攻撃とは

Tweet

整数オーバーフロー攻撃とは、二進数の取り扱いメカニズムの中で不適切な整数値が発生してプログラムがオーバーフローを起こし、悪意のコードの実行を許してしまう脆弱性を悪用した攻撃のこと。

この不適切な整数値の発生は、C/C++言語で書かれたプログラムのあらゆる場面で起こる可能性がある。

整数オーバーフロー攻撃が成功した場合、攻撃コードにより悪意の第三者にPCの管理者権限を奪われたり、標的となったプログラムをサービス不能状態にしたりする。

この攻撃に対処するためには、プログラム開発時に、ビットの並びをそのまま数値として解釈する「符号なし整数」を用いることや、上位ビットが欠落しないようにビット幅の大きな整数型で統一するようなプログラミングを心がける必要がある。もちろん、演算結果を検証する作業も忘れてはならない。