バッファーオーバーフローは「許しがたい欠陥」 FBIとCISAが根絶に向け動く：Cybersecurity Dive

FBIとCISAはバッファーオーバーフローの脆弱性を「許しがたい欠陥」と表現し、根絶に向けた取り組みを進めている。これらの脆弱性は特にCやC++で書かれたソフトウェアで起きがちな問題だという。

[David Jones，Cybersecurity Dive]

　米国連邦捜査局（FBI）と米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は2025年2月12日（現地時間、以下同）に（注1）、ハッカーがバッファーオーバーフローの脆弱（ぜいじゃく）性を悪用し、組織に対して悪質な攻撃を仕掛けていると警告した。

バッファーオーバーフローは「許しがたい欠陥」　根絶に向けた取り組み

　FBIとCISAの勧告によると、バッファーオーバーフローの脆弱性は、ハッカーがメモリの処理限界を超えてアクセスしたり、データを書き込んだりすることで発生する。

　バッファーオーバーフローの脆弱性は、メモリ安全性を考慮したソフトウェアの設計において広く存在する問題であり（注2）、データの破損やプログラムのクラッシュ、機密データの漏えい、リモートでのコード実行につながる恐れがある。

　CISAはメモリ安全性の高い言語の使用を推奨することで、ソフトウェアの開発段階で脆弱性を排除しようとしており、この警告はそれらの取り組みの一環として発表された。

　この勧告は「セキュア・バイ・デザイン」と呼ばれる広範な取り組みの一環でもある。同取り組みは、企業の顧客が自社の技術スタック内の脆弱性を追跡しなくても済むように、製品のセキュリティに関する負担をメーカー側に移すことを目的としている。

　セキュリティテストサービスを提供するVeracodeの創設者であり、最高セキュリティエバンジェリストであるクリス・ウィソパル氏は「CやC++で書かれたソフトウェアではバッファーオーバーフローの脆弱性がよくみられる」と述べた。その理由は、これらの言語ではプログラマーがメモリ管理を完璧に実施する必要があり、それが非常に難しいためだ。

　FBIとCISAは、バッファーオーバーフローの脆弱性を「許しがたい欠陥」と表現し、近年発見された具体的な脆弱性として、次のようなものを挙げた。

• 「Ivanti Connect Secure」および「Ivanti Policy Secure」におけるスタックベースのバッファーオーバーフローの脆弱性「CVE-2025-0282」（注3）（注4）
• 「Citrix Netscaler ADC」および「Netscaler Gateway」における脆弱性「CVE-2023-6549」（注5）
• 「VMware vCenter Server」における重大な脆弱性「CVE-2024-38812」（注6）

（注1）Secure by Design Alert: Eliminating Buffer Overflow Vulnerabilities（CISA）
（注2）White House rallies industry support for memory safe programming（Cybersecurity Dive）
（注3）Attackers lodge backdoors into Ivanti Connect Secure devices（Cybersecurity Dive）
（注4）CVE-2025-0282（CVE）
（注5）CVE-2023-6549 Detail（NIST）
（注6）CVE-2024-38812 Detail（NIST）