Windowsメモリ保護メカニズムとセキュリティ対策

はじめに

Windows OSは、悪意のあるメモリアクセスからアプリケーションを保護するための複数のセキュリティメカニズムを提供しています。この記事では、これらの保護機能とその有効活用方法について解説します。

メモリ保護の基本概念

なぜメモリ保護が必要か

現代のアプリケーションは、機密データをメモリに保持しています。

パスワード、認証トークン
個人情報、財務データ
暗号化キー

これらのデータが不正にアクセスされると、重大なセキュリティ侵害につながります。

Windowsのメモリ保護機能

1. ASLR（Address Space Layout Randomization）

目的: メモリ上の重要なデータ構造の予測を困難にする

有効化方法:

HLJSC

// Visual C++で明示的に有効化
#pragma comment(linker, "/DYNAMICBASE")
#pragma comment(linker, "/HIGHENTROPYVA")

確認方法:

HLJSPOWERSHELL

# プロセスのASLR状態を確認
gwmi -Query "SELECT * FROM Win32_Process WHERE Name='process.exe'" | 
    Select-Object Name, @{Name="ASLR"; Expression={$_.ProtectionLevel}}

2. DEP/NX（Data Execution Prevention）

目的: データ領域でのコード実行を防止する

実装例:

HLJSC

#include <windows.h>

// 実行不可能なメモリ領域を確保
void* allocate_non_executable_memory(size_t size) {
    void* ptr = VirtualAlloc(
        NULL, 
        size, 
        MEM_COMMIT | MEM_RESERVE, 
        PAGE_READWRITE  // 読み書きのみ、実行不可
    );
    return ptr;
}

3. CFG（Control Flow Guard）

目的: 間接コールの先を検証し、コードの制御フローを保護する

有効化:

HLJSC

// Visual C++プロジェクト設定
// プロパティ → C/C++ → コード生成 → 制御フローガード → はい (/guard:cf)

安全なメモリ管理

セキュアなメモリ確保

HLJSC

#include <windows.h>
#include <wincrypt.h>

#pragma comment(lib, "advapi32.lib")

// 機密データ用の安全なメモリ確保
void* secure_alloc(size_t size) {
    void* ptr = VirtualAlloc(
        NULL, 
        size, 
        MEM_COMMIT | MEM_RESERVE, 
        PAGE_READWRITE
    );
    
    if (ptr) {
        // ページをロックしてスワップアウト防止
        VirtualLock(ptr, size);
    }
    
    return ptr;
}

// 安全なメモリ解放
void secure_free(void* ptr, size_t size) {
    if (ptr) {
        // 上書きしてから解放
        SecureZeroMemory(ptr, size);
        VirtualUnlock(ptr, size);
        VirtualFree(ptr, 0, MEM_RELEASE);
    }
}

セキュアな文字列処理

HLJSC

#include <strsafe.h>

// バッファオーバーフローを防ぐ文字列コピー
void safe_copy_password(wchar_t* dest, size_t destSize, const wchar_t* src) {
    HRESULT hr = StringCchCopyW(dest, destSize, src);
    if (FAILED(hr)) {
        // エラー処理：切り詰めまたは失敗
        SecureZeroMemory(dest, destSize);
    }
}

Windows Defenderとの連携

メモリ整合性の保護

Windows 11以降では、以下の機能が強化されています：

HLJSPOWERSHELL

# メモリ整合性の確認
Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\DeviceGuard" -Name "EnableVirtualizationBasedSecurity"

# コア分離の確認
Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" -Name "Enabled"

監査とログ

メモリアクセスの監視

HLJSPOWERSHELL

# プロセスモニターを使用したメモリアクセスの監査
Get-WinEvent -FilterHashtable @{
    LogName='Security'
    ID=4656  # オブジェクトへのアクセス
} | Where-Object { $_.Message -like "*Process*" }

ベストプラクティス

最小権限の原則: アプリケーションは必要最小限のメモリアクセス権限で実行する
暗号化: 機密データはメモリ上でも暗号化して保持する
即時解放: 機密データは使用後すぐに安全に消去する
コード署名: 実行ファイルは正当なものであることを確認する

まとめ

Windowsのメモリ保護メカニズムを適切に活用することで、アプリケーションのセキュリティを大幅に向上させることができます。ASLR、DEP、CFGなどの機能を有効にし、安全なメモリ管理プラクティスを実装しましょう。