DEP
読み:ディーイーピー
外語:DEP: Data Execute Prevention
ハードウェアによるデータ実行防止機能。2004(平成16)年9月2日に公開されたWindows XP Service Pack 2から導入された、セキュリティ強化機能の一つ。
概要
メモリー領域を、コード実行可能域とコード実行禁止域(データ域)で明確に分けるプロセッサーの機能を用い、万一禁止された領域のコードを実行させようとした場合はアクセス違反の例外を発行することでプロセスを強制終了させる機能である。
x86系マイクロプロセッサーにおいては、AMD64アーキテクチャーや、Pentium 4以降で対応したNXビット機能を利用する。したがって、DEP機能を使うにはNXビットに対応したCPUが必要である。
特徴
PAE
x86系プロセッサーでは、PAEと呼ばれる物理アドレス拡張機能がある。Windowsではこの機能を使い4Kiバイト単位をページとして管理している。
NXビットは、このページ単位で、メモリーが実行可能か不可能かを設定することができる。
機能
DEPで最も効果が期待されるのが、バッファーオーバーフローと呼ばれる脆弱性への対抗である。
プログラムのバグにより、用意された領域を越えてデータを書き込んでしまい、本来書き換えてはいけない領域まで書き換えてしてしまうという不具合は絶えることがない。
ウイルスやワームの殆どがこの脆弱性を利用していることから、これを防ぐだけでも劇的な効果が期待される。
再検索