平成31年春期試験問題 午前問36
問36解説へ
情報セキュリティにおけるエクスプロイトコードの説明はどれか。
- 同じセキュリティ機能をもつ製品に乗り換える場合に,CSV形式など他の製品に取り込むことができる形式でファイルを出力するプログラム
- コンピュータに接続されたハードディスクなどの外部記憶装置や,その中に保存されている暗号化されたファイルなどを閲覧,管理するソフトウェア
- セキュリティ製品を設計する際の早い段階から実際に動作する試作品を作成し,それに対する利用者の反応を見ながら徐々に完成に近づける開発手法
- ソフトウェアやハードウェアの脆弱性を検査するために作成されたプログラム
広告
解説
エクスプロイトコード(Exploit Code)とは、ソフトウェアの脆弱性を悪用した不正な動作を再現するために作成されたスクリプトやプログラムを指す言葉です。
このようなプログラムは、善意の第三者や製品開発元の間で安全に流通している状況であれば問題ありませんが、世の中に出回ると攻撃方法の詳細が広く知られることになり、攻撃者が個人や企業、組織などへの攻撃を実行する際に悪用することが可能になります。実際に様々な脆弱性に対して攻撃が成功するように、複数のエクスプロイトコードをまとめたエクスプロイトキットというツールも存在し、攻撃に利用されています。
したがって「エ」が正解です。
エクスプロイトコードは、多くの場合、悪意を持ったマルウェアのことを指しますが、セキュリティ向上目的での研究材料や脆弱性検査のために作成された実証用コードという意味でも用いられます。
このようなプログラムは、善意の第三者や製品開発元の間で安全に流通している状況であれば問題ありませんが、世の中に出回ると攻撃方法の詳細が広く知られることになり、攻撃者が個人や企業、組織などへの攻撃を実行する際に悪用することが可能になります。実際に様々な脆弱性に対して攻撃が成功するように、複数のエクスプロイトコードをまとめたエクスプロイトキットというツールも存在し、攻撃に利用されています。
したがって「エ」が正解です。
エクスプロイトコードは、多くの場合、悪意を持ったマルウェアのことを指しますが、セキュリティ向上目的での研究材料や脆弱性検査のために作成された実証用コードという意味でも用いられます。
- データ移行プログラムの説明です。
- ファイル管理ツールの説明です。
- プロトタイプモデルの説明です。
- 正しい。エクスプロイトコードの説明です。
広告