Intel CET
Intel CET とは何ですか?
Intel CETIntel CET(制御フロー強制技術)は、ハードウェアシャドースタックと間接分岐追跡(IBT)を組み合わせ、ROP/JOP/COP の悪用を阻止する CPU 機能です。
Intel CET は Tiger Lake(第 11 世代 Core)および第 11 世代 Xeon で導入され、二つの保護を組み合わせます。シャドースタックは戻りアドレスを CPU が保護するページに保存し、ユーザコードが直接書き込むことはできません。RET 時に値が一致しなければ #CP 例外が発生します。Indirect Branch Tracking(IBT)はすべての合法的な間接分岐先が ENDBR 命令で始まることを要求し、関数やガジェットの途中への分岐を禁じます。OS は PROC_CET_* や SetProcessMitigationPolicy でプロセスごとに有効化し、コンパイラは -fcf-protection=full で ENDBR を埋め込みます。CET は古典的な ROP/JOP をハードウェア速度で阻止し、ASLR、DEP、スタックカナリア、ソフトウェア CFI を補完します。
● 例
- 01
Windows 11 が第 11 世代 Core CPU 上で CET によるハードウェアスタック保護を有効化する。
- 02
Linux が強化バイナリで USER_SHSTK を有効化する。
● よくある質問
Intel CET とは何ですか?
Intel CET(制御フロー強制技術)は、ハードウェアシャドースタックと間接分岐追跡(IBT)を組み合わせ、ROP/JOP/COP の悪用を阻止する CPU 機能です。 サイバーセキュリティの アプリケーションセキュリティ カテゴリに属します。
Intel CET とはどういう意味ですか?
Intel CET(制御フロー強制技術)は、ハードウェアシャドースタックと間接分岐追跡(IBT)を組み合わせ、ROP/JOP/COP の悪用を阻止する CPU 機能です。
Intel CET からどのように防御しますか?
Intel CET に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
Intel CET の別名は何ですか?
一般的な別名: CET, 間接分岐追跡, IBT。