バッファオーバーフローについて

C/C++以外のほとんどの言語において、その言語のコンパイラや仮想マシンやインタプリンタ自身やC等で拡張した部分のバグを除けば、バッファーオーバーフローは起こり得ません。なぜなら、言語仕様上、バッファーオーバーフローが起きる状況を作ることができないからです。

まず、C/C++ではなぜバッファーオーバーフローが起きるのかを理解しておく必要があります。

C
1#include <stdio.h>
2#include <stdlib.h>
3#include <string.h>
4int main(void) {
5  char buff[4];
6  strcpy(buff, "abcdefgh");
7  printf("%s\n", buff);
8}

buffは4バイトだけ確保しました。しかし、strcpy()は"abcdefgh"という9バイト(最後の'\0'分1バイト多い)の文字列をbuffに入れています。これがバッファーオーバーフローです。ただ、上は非常に単純な例であり、数え切れないほどのパターンがあります。strcpy()を使わなければいいというものでもありません。

もっとも注意して欲しいのは、次の二つです。

• コンパイルは正常に完了する。(バッファーオーバーフローはコンパイル時に検出することはできない)
• 実行時に何が起きるかはわからない。

言語仕様上、上のようなコードは動作未定義です。期待通りabcdefghと出力する場合もあれば、エラーで落ちる場合もありますが、言語使用上はどちらも起こりえると言うことです。もちろん、(与えた文字列や環境によっては)任意のコマンドが実行されると言うことも起こりえます。なぜ、未定義にしているかというと、buffがどれぐらいのサイズで、いまからどれぐらいのサイズの文字列を入れるのかをチェックしなくてもいいようにするためです。こういったチェックというのは少なくないコストが必要になるため、パフォーマンスに影響を及ぼします。C/C++では、単純性やパフォーマンスを重視しており、必要最小限の動作しか行わないようにすることが言語の設計方針になっています。チェックするのはプログラマーの責任であり、プログラマーがサイズを超えてバッファーへ書き込みがされないようにコーディングしなければなりません。これはstrcpy()に限った話ではなく、buff[4] = 'a';といった単純な代入や他の多くの標準ライブラリ関数でも同様です。(別途チェックを行うという関数が用意されている場合もあります。)

この仕様は、最大限のパフォーマンスを得られるというメリットがある分、プログラマーに負担をかけ、プログラマーのミスによってバッファーオーバーフローが発生する可能性を生み出してしまいました。そのため、他の多くの言語では、パフォーマンスを犠牲にしてでも、配列のサイズを常に把握し、溢れ出さないかのチェックを行うという仕様にしました。もし、溢れ出すのであれば、処理を実行する事無く例外を出すなり、途中までしかコピーしなかったりと未定義とはならない動作を行うように定めたのです。つまり、パフォーマンスよりも安全性を取ったと言うことです。

バッファーオーバーフローはC/C++の危険なところの一つに過ぎません。他にも多くの危険性をC/C++ははらんでいます。しかし、それらはパフォーマンスを重視し、プログラマーがメモリ上のデータの動作を厳密に決定づけられるようにしているためです。この戦略は絶対的に良いとも、悪いともいえません。逆に、他の多くの言語は、パフォーマンスを犠牲にしてでも、C/C++にあった危険なところを排除しました。同じく、良いとも悪いともいえないものです。

なお、PHPを初めとしたスクリプト言語のインタプリンタはC/C++で書かれていることが多いです。そのため、インタプリンタ－自身にバッファーオーバーフローが入り込む余地が十分にあるということは注意しなければなりません。見つかり次第修正はされますが、インタプリンタをアップデートしなければ危険なままであることは変わりありません。スクリプト言語を扱う場合は、常にサポートされたバージョンを使うこと、計画的にインタプリンタ自体のバージョンアップができるようにしていくことが求められます。コーディング自体に気をつける必要はありませんが、動作環境を含めて考える場合は、サーバー自体の運用方針に注意を向けるべきです。