ROP/JOP ガジェットチェーンの構築原理

なぜ「既存コードの断片」で任意計算が組めるのか

DEP/NX が書き込み可能ページの実行を禁じると、攻撃者は自前のコードを置けなくなります。そこで発想を反転させ、すでに実行可能な領域（プログラム本体や libc）にある命令の断片を部品として寄せ集めるのがコード再利用攻撃です。詳細はメモリ破壊攻撃の原理で扱ったとおりで、本稿はその「部品をどう連結して任意計算にするか」という構築原理に絞ります。

部品を ガジェット（gadget） と呼びます。ガジェットは「数個の有用な命令＋制御を次へ渡す末尾命令」という形をしています。末尾命令の種類が攻撃手法を分けます。

• ROP（Return-Oriented Programming）：末尾が ret のガジェットを使う。
• JOP（Jump-Oriented Programming）：末尾が間接 jmp（例 jmp rax）のガジェットを使う。
• COP（Call-Oriented Programming）：末尾が間接 call のガジェットを使う。

重要なのは、これらのガジェットが開発者の意図とは無関係に存在する点です。x86-64 は可変長命令で、命令の途中バイトから逆向きに解釈すると、元のコードには無かった別の命令列が現れます。十分な大きさのバイナリには、チューリング完全な計算を組めるだけのガジェットが揃ってしまいます。

元のコード（バイト列）:  48 8b 07  c3
正規の解釈:             mov rax, [rdi] ; ret
1バイトずらして解釈:    8b 07  c3   →  mov eax, [rdi] ; ret  （別ガジェット）

ガジェット探索：何を集め、どう絞るか

チェーンを組む前に、対象バイナリから使えるガジェットを列挙します。ROPgadget や ropper といったツールは、実行可能セクションを走査して末尾命令（ret / jmp reg / call reg）を探し、そこから手前へ向かって短い命令列に逆アセンブルし、ガジェット候補を抽出します。

探索の核は「末尾命令のバイトを起点に、その手前の数バイトを命令として解釈する」ことです。ret のオペコードは 0xC3 なので、コード領域から 0xC3 を全部探し、各位置から手前数バイトを逆アセンブルすれば ROP ガジェット候補が網羅できます。

探索アルゴリズム（ROP の場合の概念）
  for off in コード領域の各オフセット:
      if バイト[off] == 0xC3:              # ret を発見
          for back in 1..maxlen:           # 手前へ伸ばす
              逆アセンブル(off-back .. off)
              if 全体が有効な命令列:
                  ガジェット候補に登録(アドレス off-back)

集めた候補から、目的の処理に必要なものを選びます。実戦で価値が高いのは次の系統です。

• レジスタ設定：pop rdi ; ret のように、スタックの値をレジスタへ載せる。関数の引数を整える要。
• メモリ書き込み：mov [rdi], rsi ; ret のように、任意アドレスへ任意値を書く。
• 算術・論理：add rax, rbx ; ret など。アドレス計算や値の合成に使う。
• 副作用の少なさ：末尾の手前に余計な pop や条件分岐が無いほど扱いやすい。副作用があればその分のダミー値をスタックに足して辻褄を合わせる。

ROP チェーン：ret がスタックを駆動する

ROP の連鎖は ret の振る舞いそのものです。ret はスタックトップの値へジャンプし、スタックポインタ（RSP）を 8 バイト進めます。そこでスタック上に「ガジェットのアドレス」と「そのガジェットが pop する値」を順に並べておけば、各ガジェット末尾の ret が次のガジェットへ制御を渡し、ret 自身が連鎖を駆動するエンジンになります。

目標は多くの場合「1つの関数を正しい引数で呼ぶ」ことです。x86-64 System V 規約では第1〜第6引数が RDI, RSI, RDX, RCX, R8, R9 に載るので、pop 系ガジェットで引数レジスタを整え、最後に目的の関数へ飛ばします。例として mprotect(addr, len, RWX) を呼んでスタックを実行可能に戻す典型を擬似的に示します。

攻撃者がスタックに並べる ROP チェーン（上から消費される）
  [ &(pop rdi ; ret) ]
  [ addr            ]   ← RDI = 第1引数（保護を変える先頭アドレス）
  [ &(pop rsi ; ret) ]
  [ len             ]   ← RSI = 第2引数（長さ）
  [ &(pop rdx ; ret) ]
  [ 7               ]   ← RDX = 第3引数（PROT_READ|WRITE|EXEC = 7）
  [ &mprotect       ]   ← 引数が揃った状態で mprotect へ
  [ &shellcode      ]   ← mprotect の戻り先（実行可能化した領域）

最初の ret（脆弱性で奪った戻りアドレス）が先頭ガジェットへ飛び、以降は各 ret が次の行へ進めます。制御の流れが完全にスタック上のデータ配置で決まる点が ROP の本質です。

JOP チェーン：ディスパッチャがテーブルを進める

ROP は ret に依存するため、ret を監視する後方エッジ防御に弱くなります。そこで ret を一切使わずに連鎖する手法が JOP です。JOP では連鎖の駆動を ret ではなく ディスパッチャガジェット（dispatcher gadget） が担います。

仕組みはこうです。ガジェットのアドレスを並べた ディスパッチテーブル をメモリに用意し、その読み出し位置を指すレジスタ（ディスパッチャレジスタ、例 rdx）を保持します。各「機能ガジェット」は仕事をした後、末尾の間接 jmp でディスパッチャへ戻ります。ディスパッチャは「テーブル位置を1つ進め、その指す先のガジェットへ間接 jmp する」だけの小さな部品です。

ディスパッチャガジェット（概念）:
  add rdx, 8        ; テーブル読み出し位置を次へ
  jmp [rdx]         ; テーブルが指す機能ガジェットへ間接ジャンプ

機能ガジェットの末尾は ret ではなく:
  ... 仕事 ... ; jmp rXX   （rXX はディスパッチャに戻る間接 jmp）

制御フロー:
  ディスパッチャ → 機能ガジェット1 → ディスパッチャ → 機能ガジェット2 → ...

ROP では ret と RSP が「次はどこか」を決めていましたが、JOP ではそれをディスパッチテーブルとディスパッチャレジスタが肩代わりします。ret も特定の戻りアドレス列も不要なので、ret だけを守る防御をすり抜けられます。COP は連結に間接 call を使う変種で、call がスタックに戻りアドレスを積む副作用を吸収する工夫が要る点が JOP と異なります。

stack pivot：チェーンの起点をすり替える

ROP チェーンを動かすには、ret が読むスタック（RSP の指す先）が攻撃者の並べたチェーンを指していなければなりません。ところが溢れさせたバッファがヒープにある、あるいは制御を奪った時点で RSP が攻撃者の用意した領域を指していない、という状況が頻繁に起きます。

そこで stack pivot（スタックピボット） を使います。これは RSP を攻撃者が内容を制御できるメモリ（偽スタック、fake stack）へ向け替える ガジェットで、典型は次のような形です。

• xchg rax, rsp ; ret — rax に偽スタックのアドレスを入れておき、RSP と交換する。
• mov rsp, rax ; ret — rax を RSP に直接ロードする。
• pop rsp ; ret — スタックトップの値を RSP に載せる。
• add rsp, 0x... ; ret — RSP を既知量ずらして、別領域のチェーン先頭に合わせる。

pivot 前:  RSP → 元のスタック（攻撃者が十分に制御できない／短い）
pivot 後:  RSP → 偽スタック（攻撃者が並べた本命の ROP チェーン）

xchg rax, rsp ; ret を踏むと
  ・rax（=偽スタックのアドレス）が RSP に入る
  ・続く ret が偽スタック先頭のガジェットアドレスへ飛ぶ
  → 以降は本命チェーンが駆動する

最初に奪える制御が「ガジェット1個ぶん」しか無くても、その1個を pivot に充てれば、以降の長いチェーンを別領域に展開できます。pivot は ROP/JOP チェーンの着火点であり、エクスプロイト構築で頻出する定石です。

CET：連鎖の最初の1歩を断つ

CFI と最新のエクスプロイト緩和で詳述したとおり、Intel CET は ROP と JOP/COP を別々の機構で止めます。ガジェットチェーンの観点で「どこで連鎖が始められなくなるか」を見ると要点が明確になります。

シャドースタック（後方エッジ） は、call 時に戻りアドレスを通常スタックと CPU 管理のシャドースタックの両方へ積み、ret 時に両者が一致するかを照合します。ROP チェーンは「偽の戻りアドレス列を ret でたどる」ものなので、最初のガジェットへ飛ぶ ret の時点でシャドースタック側の正規戻り先と一致せず、制御保護例外（#CP）で停止します。連鎖の1歩目で破綻します。

IBT（Indirect Branch Tracking、前方エッジ） は、間接 jmp/call の着地点を endbr64 命令のある位置だけに制限します。JOP/COP は「途中バイトから始まる意図しないガジェット」や「関数の途中」へ間接分岐で着地することに依存しますが、そこには endbr64 が無いため #CP 例外になります。ディスパッチャや機能ガジェットへの間接 jmp が着地できず、JOP の連鎖が組めません。

ROP  → ret が偽戻り先へ飛ぶ瞬間
        通常スタック=偽アドレス  vs  シャドースタック=正規アドレス  → #CP（不一致）

JOP  → 間接 jmp がガジェット（途中バイト起点）へ飛ぶ瞬間
        着地先に endbr64 が無い  → #CP（IBT 違反）

実務での向き合い方

ガジェットチェーンを「組ませない／着火させない」ためには、構築の各前提を潰すのが筋です。

• ガジェットの供給を減らす：不要なコードをリンクしない、libc を最小化する、CET の endbr 強制で途中バイト起点ガジェットを着地不能にする。完全には消せないが攻撃者の選択肢を狭める。
• 着火点を塞ぐ：stack pivot は RSP の書き換えに依存する。スタックカナリアや前方 CFI で pivot ガジェットへの間接遷移を弾き、ピボットの成立条件を厳しくする。
• 多層で前後を塞ぐ：CET シャドースタック（後方＝ROP 対策）と IBT・前方 CFI（前方＝JOP/COP 対策）を両方有効化する。片方では ROP か JOP のどちらかが素通りする。発想は最小権限の原則と多層防御と同じで、1層破られても次で止める。