ヒープオーバーフローとは何ですか？

ヒープ領域に確保したバッファの境界を超えてデータを書き込んでしまう脆弱性です。隣接するデータ構造を破壊し、任意コード実行につながる危険があります。

ヒープオーバーフローのポイントは？

ヒープに確保したバッファのサイズを超えてデータを書き込む攻撃手法。隣接するヒープチャンクのメタデータや関数ポインタを上書きできる。スタックオーバーフローより攻撃は複雑だが、防御も難しい。malloc実装の内部構造を悪用してシェルコード実行に持ち込む手口がある

【ヒープオーバーフロー】

ヒープオーバーフローとは？

💡 隣の部屋まではみ出す荷物、仕切りを壊して大惨事

📌 このページのポイント

ヒープに確保したバッファのサイズを超えてデータを書き込む攻撃手法
隣接するヒープチャンクのメタデータや関数ポインタを上書きできる
スタックオーバーフローより攻撃は複雑だが、防御も難しい
malloc実装の内部構造を悪用してシェルコード実行に持ち込む手口がある

ヒープオーバーフローのイメージ

ひよこ

ヒープオーバーフローってバッファオーバーフローとは違うの？

ペンギン先生

バッファオーバーフローの一種だよ。バッファオーバーフローにはスタック上で起きるものとヒープ上で起きるものがあって、ヒープ上で起きるのがヒープオーバーフローだね。

ひよこ

ヒープで起きると何が違うの？

ペンギン先生

スタックオーバーフローは戻りアドレスを書き換えるのが定番だけど、ヒープの場合は隣接するヒープチャンクのメタデータや関数ポインタを書き換えるんだ。倉庫の仕切りを壊して隣の荷物を入れ替えるイメージだよ。

ひよこ

具体的にはどうやって攻撃するの？

ペンギン先生

たとえばglibcのmalloc実装では、解放済みチャンクが前後のポインタで連結リストを作っているよ。ヒープオーバーフローで隣のチャンクのポインタを書き換えると、次のfree()やmalloc()で任意のアドレスに値を書き込める「unlink攻撃」が成立するんだ。

ひよこ

それって防げないの？

ペンギン先生

現代のOSやコンパイラには複数の防御策があるよ。ヒープの整合性チェック、ASLR（アドレス配置のランダム化）、ヒープガードページなどだね。glibcも昔のunlink攻撃は対策済みだよ。

ひよこ

じゃあもう安全なの？

ペンギン先生

いやいや、攻撃者もどんどん手口を進化させているよ。最近はヒープ風水（Heap Feng Shui）といって、アロケーションのパターンを精密に制御してヒープのレイアウトを狙い通りに並べ替えるテクニックが使われているんだ。

ひよこ

ヒープ風水って面白い名前だね！プログラマはどう対策すればいいの？

ペンギン先生

まず入力サイズの検証を徹底すること。C/C++ではstrncpyやsnprintfなどサイズ制限付きの関数を使うのが基本だよ。さらにAddressSanitizer（ASan）というツールを使うとヒープオーバーフローを実行時に検出できる。根本的にはRustのようなメモリ安全な言語に移行するのが最も確実な対策だね。

まとめ：ざっくりこれだけ覚えればOK！

「ヒープオーバーフロー」って出てきたら「ヒープ領域のバッファからはみ出して隣のデータを壊す脆弱性」と思えればだいたいOK！

📖 おまけ：英語の意味

「Heap Overflow」＝ヒープの溢れ

💬 「heap（ヒープ領域）」が「overflow（あふれる）」という、メモリ破壊の様子がそのまま名前になっているよ

← 用語集にもどる

ヒープオーバーフロー とは？

ヒープオーバーフローとは？