リソース枯渇攻撃

リソース枯渇攻撃（リソースこかつこうげき、英語: Resource exhaustion attack）はコンピュータセキュリティにおける対象のプログラムをクラッシュ、ハングさせ、その他妨害をするエクスプロイトのひとつ。DoS攻撃の一種だが、DDos攻撃とは異なり多くの箇所からリクエストを送るためにウェブサーバーなどの大量のネットワークホストを巻き込むようなことはない^[1]。

攻撃手法

リソース枯渇攻撃は一般にソフトウェアのバグまたは設計の不具合を悪用する。マニュアルメモリ管理をしているソフトウェア（通常C言語やC++で書かれる）においては、しばしばメモリリークバグがリソース枯渇攻撃に使われる。ガベージコレクションをするプログラミング言語が使われたとしても、それで書かれたプログラムがメモリを非効率的に使い、メモリの総使用量を制限していなかった場合にはリソース枯渇攻撃が成立する。

ファイル記述子のリークも一般的な攻撃手法である。ほとんどの汎用プログラミング言語においてファイル記述子はプログラマーが明示的にクローズする必要があり、高水準言語であってもそのようなバグが発生しうる。

種類と例

Billion laughs攻撃
フォーク爆弾
無限ループ
Land攻撃
Pentium F00F バグ
Ping of death
Regular expression denial of service（英語版） (ReDoS)

参考文献

^ Lindqvist, U.; Jonsson, E. (1997). How to systematically classify computer security intrusions. pp. 154–163. doi:10.1109/SECPRI.1997.601330.

外部リンク

[LindqvistJonsson1997-1] Lindqvist, U.; Jonsson, E. (1997). How to systematically classify computer security intrusions. pp. 154–163. doi:10.1109/SECPRI.1997.601330.

[1]