アドレス空間くうかん配置はいちのランダム化か

アドレス空間くうかんのランダム化かは、攻撃こうげき者しゃが標的ひょうてきのアドレスを予測よそくすることをより困難こんなんにすることによって、ある種しゅのセキュリティ攻撃こうげきを妨害ぼうがいする。たとえば、return-to-libc攻撃こうげきで実行じっこうを試こころみる攻撃こうげき者しゃは実行じっこうされるコードの位置いちを特定とくていしなければならず、スタック上じょうに注入ちゅうにゅうされたシェルコードの実行じっこうを試こころみる他ほかの攻撃こうげき者しゃはまずスタックを見みつけなければならない。どちらの場合ばあいも、関連かんれんするメモリアドレスは攻撃こうげき者しゃから隠かくされている。攻撃こうげき者しゃはこれらの値ねを推測すいそくしなくてはならず推測すいそくが失敗しっぱいすると通常つうじょうアプリケーションはクラッシュするため、回復かいふくは不可能ふかのうである。

アドレス空間くうかん配置はいちのランダム化かはランダムに置おかれた領域りょういきを攻撃こうげき者しゃが探さがし出だすことを困難こんなんにすることを狙ねらったものである。探索たんさく空間くうかんが増大ぞうだいすれば、その分ぶんセキュリティも向上こうじょうする。したがって、アドレス空間くうかんのランダム化かは無作為むさくいなオフセット内ないに存在そんざいするエントロピーが大おおきくなるほど効果こうか的てきである。エントロピーを大おおきくするにはランダム化かが行おこなわれる仮想かそう記憶きおく領域りょういき空間くうかんの量りょうを増ふやすか、ランダム化かを行おこなう時間じかん間隔かんかくを短縮たんしゅくする。時間じかん間隔かんかくは通常つうじょうは可能かのうな限かぎり小ちいさくなるよう実装じっそうされるので、ほとんどのシステムは仮想かそう記憶きおく領域りょういきの量りょうを増ふやさねばならない。

攻撃こうげき者しゃはランダム化かに対抗たいこうするために、攻撃こうげきを加くわえようとする全すべての領域りょういきの位置いちの推測すいそくに成功せいこうしなければならない。攻撃こうげき用ようのコードや役やくに立たつデータを乗のせるためのスタックやヒープのようなデータ領域りょういきについては、コードならばNOPスライドの使用しよう、データならばコピーの繰くり返かえしによって、攻撃こうげき可能かのうな状態じょうたいを増ふやすことができる。領域りょういきがランダム化かされた結果けっかそれらの状態じょうたいのどれか1つになれば攻撃こうげきは成功せいこうする。一方いっぽう、基本きほんライブラリやメイン実行じっこうファイルのようなコード領域りょういきはその位置いちを正確せいかくに知しる必要ひつようがある。しばしばこれらの領域りょういきは混合こんごうされる。たとえばスタックフレームはスタック上じょうに注入ちゅうにゅうされ、ライブラリはそこを戻もどり先さきにされる。

まず、以下いかの変数へんすうを宣言せんげんする:

${\displaystyle E_{s}={\mbox{entropy bits of stack top}}\,}$ 

${\displaystyle E_{m}={\mbox{entropy bits of mmap() base}}\,}$ 

${\displaystyle E_{x}={\mbox{entropy bits of main executable base}}\,}$ 

${\displaystyle E_{h}={\mbox{entropy bits of heap base}}\,}$ 

${\displaystyle A_{s}={\mbox{attacked bits per attempt of stack entropy}}\,}$ 

${\displaystyle A_{m}={\mbox{attacked bits per attempt of mmap() base entropy}}\,}$ 

${\displaystyle A_{x}={\mbox{attacked bits per attempt of main executable entropy}}\,}$ 

${\displaystyle A_{h}={\mbox{attacked bits per attempt of heap base entropy}}\,}$ 

${\displaystyle \alpha ={\mbox{attempts made}}\,}$ 

${\displaystyle N=E_{s}-A_{s}+E_{m}-A_{m}+E_{x}-A_{x}+E_{h}-A_{h}\,}$ 

攻撃こうげき者しゃが成功せいこうする確かく率りつを計算けいさんするために、試行しこう回数かいすう ${\displaystyle \alpha }$  はシグネチャベースのIPS、法的ほうてき規制きせい、その他たの要因よういんによって中断ちゅうだんされることなく実行じっこうされると仮定かていする。ブルートフォースの場合ばあい、デーモンを再さい起動きどうすることはできない。さらにどれだけ多おおくのビットが関係かんけいし、どれだけ多おおくのビットが1回かいあたりの試行しこうで攻撃こうげきされ、どれだけ多おおくのビット攻撃こうげきしなければならないビットが残のこるかも算出さんしゅつしなければならない。

以下いかの式しきは${\displaystyle N}$ ビットのエントロピーに対たいする${\displaystyle \alpha \,}$ 回かいの試行しこうが与あたえられたとき、攻撃こうげきが成功せいこうする確かく率りつを表あらわす。

${\displaystyle g\left(\alpha \,\right)={\mbox{isolated guessing; address space is re-randomized after each attempt}}\,}$ 

${\displaystyle g\left(\alpha \,\right)=1-{\left(1-{2^{-N}}\right)^{\alpha }\,}:0\leq \,\alpha \,}$ 

${\displaystyle b\left(\alpha \,\right)={\mbox{systematic brute forcing on copies of the program with the same address space}}}$ 

${\displaystyle b\left(\alpha \,\right)={\frac {\alpha \,}{2^{N}}}:0\leq \,\alpha \,\leq \,{2^{N}}}$ 

多おおくのシステムで、${\displaystyle 2^{N}}$ は数すう千せんから数すう百ひゃく万まんの範囲はんいになりうる。現代げんだいの^[update] 64ビットシステム上じょうでは、これらの数値すうちは少すくなくとも数すう百ひゃく万まんに達たっする。アドレスのランダム化かに16ビットを使用しようする2004年ねん時点じてんの32ビットシステムについて、Shachamと共同きょうどう研究けんきゅう者しゃは以下いかのように述のべている。「…16ビットのアドレスランダム化かはブルートフォース攻撃こうげきにより数すう分ふんで破われる」^[1] この研究けんきゅう者しゃの主張しゅちょうは攻撃こうげき者しゃが同おなじアプリケーションに対たいしていかなる遅延ちえんもなく複ふく数すう回かい攻撃こうげきできる能力のうりょくに依存いぞんしていることに注意ちゅういされたい。grsecurityに含ふくまれているような、ASLRの適切てきせつな実装じっそうは、このようなブルートフォース攻撃こうげきを不可能ふかのうにするいくつかの手法しゅほうを提供ていきょうしている。ひとつの方法ほうほうは、ある一定いっていの時間じかん内ないに設定せっていされた回数かいすう以上いじょうクラッシュした実行じっこうファイルの実行じっこうを妨さまたげることである。

一部いちぶのシステムはライブラリロード順序じゅんじょのランダム化かを実装じっそうする。これはライブラリがロードされる順序じゅんじょをランダム化かする、ASLRの一いち形態けいたいである。これにより供給きょうきゅうされるエントロピーはほとんどない。必要ひつようなライブラリ1つごとに供給きょうきゅうされるエントロピーのビット数すうの見積みつもりを以下いかに示しめす。これは可変かへんのライブラリサイズを考慮こうりょに入いれていないため、実際じっさいに得えられるエントロピーはもう少すこし大おおきくなる。攻撃こうげき者しゃは通常つうじょう1つのライブラリしか必要ひつようとしないことに注意ちゅういされたい。複数ふくすうライブラリの場合ばあいの計算けいさん式しきはより複雑ふくざつになるがこれも以下いかに示しめす。攻撃こうげき者しゃが1つのライブラリしか使用しようしない場合ばあいは、複雑ふくざつな式しきを${\displaystyle l=1}$ として単純たんじゅん化かしたものであることに注意ちゅうい。

${\displaystyle l={\mbox{number of libraries loaded}}}$ 

${\displaystyle \beta \,={\mbox{number of libraries used by the attacker}}}$ 

${\displaystyle E_{m}=\log _{2}\left(l\right):\beta \,=1,l\geq \,1}$ 

${\displaystyle E_{m}=\sum _{i=l}^{l-\left(\beta \,-1\right)}\log _{2}\left(i\right):\beta \,\geq \,1,l\geq \,1}$ 

これらの値ねは${\displaystyle l}$ が大おおきな値ねでも、低ひくくなる傾向けいこうにある。もっとも重要じゅうような点てんは、攻撃こうげき者しゃは通常つうじょうC標準ひょうじゅんライブラリしか使つかえず、そのためしばしば${\displaystyle \beta \,=1}$ と仮定かていできるということである。しかし、興味深きょうみぶかいことにライブラリの数かずが少すくなくともここで数すうビットのエントロピーが得えられる。このようにライブラリロード順序じゅんじょのランダム化かを仮想かそうメモリ領域りょういきアドレスのランダム化かと組くみ合あわせることにより、数すうビットの追加ついかエントロピーを得えられる可能かのう性せいがある。これらの追加ついかビットはライブラリのみに適用てきようされ、他たのmmap()セグメントなどには適用てきようされないことに注意ちゅうい。

攻撃こうげき者しゃは単純たんじゅんな情報じょうほう漏洩ろうえいから、攻撃こうげき1回かいあたりの複数ふくすうビットエントロピー攻撃こうげき（heap sprayingによる攻撃こうげきなど）まで、いくつかの方法ほうほうを使つかってランダム化かされたアドレス空間くうかんに現あらわれるエントロピーを削減さくげんできる。これに対抗たいこうする手段しゅだんはほとんどない。

書式しょしき文字もじ列れつ攻撃こうげきを使用しようしたメモリレイアウトに関かんする情報じょうほうの漏洩ろうえいがありうる。printf()のような書式しょしき文字もじ列れつ関数かんすうは可変長かへんちょう引数ひきすうリストを使用しようして作業さぎょうを行おこなう。書式しょしき指定してい子こは引数ひきすうリストがどのように見みえるかを記述きじゅつする。引数ひきすうが渡わたされる通常つうじょうの方法ほうほうのために、各種かくしゅ書式しょしき指定してい子こはスタックフレームの先頭せんとう近ちかくに移動いどうする。最終さいしゅう的てきに、戻もどり先さきのポインタとスタックフレームポインタの抽出ちゅうしゅつが可能かのうであり、脆弱ぜいじゃくなライブラリのアドレスと既知きちのスタックフレームのアドレスが現あらわれる。これにより攻撃こうげき者しゃに対たいする障害しょうがいとしてのライブラリとスタックのランダム化かの効果こうかはまったくなくなる。

スタックやヒープのエントロピーを減へらすこともできる。スタックは通常つうじょう16バイトの倍数ばいすう境界きょうかいに配置はいちされなければならないので、ランダム化かの間隔かんかくもそれより小ちいさくはできない。さらにヒープはページ（通常つうじょう4096バイト）境界きょうかいに配置はいちされなければならない。攻撃こうげきを試こころみるとき、重複じゅうふくした攻撃こうげきをこれらの境界きょうかいに合あわせることが可能かのうである。NOPスライドをシェルコードの注入ちゅうにゅうに使つかうことができ、system()への戻もどりを試こころみるときは文字もじ列れつ '/bin/sh' を任意にんい個数こすうのスラッシュの '////////bin/sh' に置おき換かえることができる。削減さくげんされるビット数すうは間隔かんかく${\displaystyle n}$ の攻撃こうげきに対たいして、ちょうど${\displaystyle log_{2}\left(n\right)}$ である。

このような減少げんしょうはスタックやヒープのデータ量りょうのために制限せいげんされる。たとえば、スタックは通常つうじょう8MB^[2]に制限せいげんされ、それよりも伸のびて使つかわれることは、めったにない。これにより削減さくげんが可能かのうなのは最大さいだい19ビットであるが、より保守ほしゅ的てきな見積みつもりでは4-16KB^[2]のスタックの詰つめ物ものに対たいしておよそ 8-10ビットである。一方いっぽうヒープはメモリアロケータの振ふる舞まいに制限せいげんされる。glibcの場合ばあい、128KBを超こえる割わり当あてはmmap()を使つかって作つくられ、攻撃こうげき者しゃのビット削減さくげんを5ビットに制限せいげんする。これはブルートフォースに対たいする制限せいげん要因よういんでもある。行おこなわれる攻撃こうげきの回数かいすうを削減さくげんすることはできるが、攻撃こうげきのサイズが十分じゅうぶん大おおきくなると一部いちぶの環境かんきょうでの振ふる舞まいは侵入しんにゅう検知けんちシステムと似にたものになりうる。

PaXプロジェクトが最初さいしょに「ASLR」という造語ぞうごを発明はつめいした。PaXはASLRの最初さいしょの設計せっけいと実装じっそうを 2001年ねん7月がつに発行はっこうした。これは現在げんざいでも最もっとも完全かんぜんな実装じっそうであり、2002年ねん10月がつからはカーネルスタックのランダム化かも提供ていきょうしている。PaXは他たの実装じっそうと比くらべて、各かくランダム化かされたレイアウトごとに最大さいだいのエントロピーを与あたえる実装じっそうであり続つづけている^[3]。

いくつかの主流しゅりゅうの、汎用はんよう目的もくてきのオペレーティングシステムがASLRを実装じっそうしている。

OpenBSDはASLRをサポートした（そしてデフォルトで有効ゆうこうにした）、最初さいしょの主流しゅりゅうのオペレーティングシステムの1つとなった^[4]。

Linuxは弱よわい^[5]形かたちのASLRを、カーネルバージョン2.6.12からデフォルトで有効ゆうこうにした。PaXとExec ShieldのLinuxカーネルに対たいするパッチ集しゅうはより完全かんぜんな実装じっそうを提供ていきょうする。Adamantix、Alpine Linux、Hardened Gentoo、およびHardened Linux From Scratchを含ふくむ各種かくしゅのLinuxディストリビューションはPaXのASLR実装じっそうをデフォルトで備そなえている。

Linux用ようのExec Shieldパッチは16バイトの間隔かんかく上じょうで19ビットのスタックエントロピーを供給きょうきゅうする。そして4096バイトの1ページ間隔かんかく上じょうで8ビットのmmap()エントロピーを供給きょうきゅうする。これは524288通とおりの位置いちがありうる8MBの広ひろさの領域りょういきにスタック基底きていを置おく。そして256通とおりの位置いちがありうる1MBの広ひろさの領域りょういきにmmap()基底きていを置おく。

位置いち独立どくりつ実行じっこうファイル (PIE) の機能きのうはメイン実行じっこうファイルバイナリのランダムな基底きていアドレスを2003年ねんから実装じっそうする。これはメイン実行じっこうファイルに対たいして、共有きょうゆうライブラリで使つかわれるものと同おなじアドレスのランダム性せいを提供ていきょうする。PIEの機能きのうはネットワークに直接ちょくせつ向むき合あうデーモンにのみ使つかわれている - PIE機能きのうは同おなじ実行じっこうファイルでprelinkの機能きのうと同時どうじに使つかうことができない。

prelinkツールは実行じっこう時じではなくprelink時じにランダム化かを実装じっそうする。なぜならば仕様しようによりprelink は、動的どうてきリンカが行おこなわなければならなくなる前まえにライブラリの再さい配置はいちを行おこなうことで、プログラムを何なん度ども走はしらせても再さい配置はいちが1回かいしか行おこなわれないようにすることが目的もくてきだからである。結果けっかとして、真しんのアドレス空間くうかんランダム化かはprelinkの目的もくてきを打うち消けしてしまう。

マイクロソフトのWindows Vista（後述こうじゅつの通とおり2008年ねん3月がつリリースのSP1から）、Windows Server 2008、Windows 7、およびWindows Server 2008 R2は、ASLRが有効ゆうこうとなるよう特別とくべつにリンクされた実行じっこうファイルとダイナミックリンクライブラリについてのみではあるが、デフォルトでASLRを有効ゆうこうにしている^[6]。これにはService Pack 1より前まえのWindows Vista上じょうのInternet Explorer 7が含ふくまれていなかった。ASLRとDEPは両方りょうほうがアプリケーション互換ごかん性せいの目的もくてきで無効むこうにされていた^[7]。Internet Explorer 8を含ふくむ、より新あたらしいバージョンはこれらの保護ほごを有効ゆうこうにした。すべての実行じっこうファイルとライブラリで強制きょうせい的てきにASLRを有効ゆうこうまたは無効むこうにするレジストリ設定せっていが存在そんざいする。レジストリキー "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\MoveImages" である^[8]。

ヒープ、スタック、プロセス環境かんきょうブロック、およびスレッド情報じょうほうブロックの位置いちもランダム化かされる。シマンテックのセキュリティホワイトペーパーは、32ビットのWindows VistaにおけるASLRは期待きたいされるほど堅牢けんろうではない可能かのう性せいがあると注意ちゅういしており、マイクロソフトはその実装じっそうの弱点じゃくてんを認みとめている^[9]。

WehnTrust^[10]やOzone^[11]のようなホストベースの侵入しんにゅう検知けんちシステムも、ASLRをWindows XPとWindows Server 2003オペレーティングシステムに提供ていきょうしている。しかし、これらの実装じっそうの完全かんぜんな詳細しょうさいは公開こうかいされていない^[12]。

Solaris 11.1 よりサポートされた^[13]。

Appleは、Mac OS X v10.5（2007年ねん10月がつリリース）で、一部いちぶのライブラリオフセットのランダム化かを導入どうにゅうした^[14]。この実装じっそうは、ASLRが防ふせぐことを目的もくてきとした攻撃こうげきに対たいする完全かんぜんな保護ほごを提供ていきょうしない^{[15][16][17][18]}。

Mac OS X Lion 10.7（2011年ねん7月がつリリース）では、AppleはASLR実装じっそうをすべてのアプリケーションに拡大かくだいした。32ビットアプリケーションでも利用りようできるようになり（ヒープメモリ保護ほごも同様どうよう）、64ビットと32ビットアプリケーションの攻撃こうげきに対たいする耐たい性せいが向上こうじょうした^[19]。

OS X Mountain Lion 10.8（2012年ねん7月がつリリース）以降いこうでは、システム起動きどう時じにカーネルだけでなく、kextやzoneを含ふくむシステム全体ぜんたいがランダムに再さい配置はいちされる^[20]。

Appleは、iOS 4.3（2011年ねん4月がつリリース）でASLRを導入どうにゅうした^[21]。

Android 4.0 Ice Cream Sandwichはシステムとサードパーティーのアプリケーションをメモリ管理かんりの問題もんだいに起因きいんする脆弱ぜいじゃく性せい攻撃こうげきから保護ほごするためのASLRを提供ていきょうする。また、4.1においては位置いち独立どくりつ実行じっこうファイル (PIE) への対応たいおうが追加ついかされた^[22]。

• バッファオーバーフロー
• スタックオーバーフロー
• スタックオーバーフロー保護ほご
• NXビット
• 情報じょうほう量りょう（情報じょうほうエントロピー）
• ヒープスプレー（英語えいご版ばん）

• PaXのASLRに関かんする文書ぶんしょ（英語えいご）
• PaXのExecShieldとW^Xに対たいする比較ひかく（英語えいご）
• Windows Vista beta 2のASLR（英語えいご）
• PaXのASLR保護ほごを迂回うかいする方法ほうほう（英語えいご）
• アプリケーション（もしくはライブラリ）のASLRとDEPサポートのテスト（英語えいご）