●エクスプロイトコードとは
コンピュータやソフトウェアの脆弱性を突いた攻撃をするためのコード。
●エクスプロイトキットとは
エクスプロイトコードを集めたもの。
●出題された回(平成29年度春期以降)
令和元年度秋期/平成31年度春期
エクスプロイトコードの説明
エクスプロイトコードとは、コンピュータやソフトウェアの脆弱性を突いた攻撃をするためのコードです。ちなみに、エクスプロイトキットとは、エクスプロイトコードを集めたものです。
元々はコンピュータやソフトウェアの脆弱性を検査するためのコードとして使われていましたが、悪用する人が出て来たため悪い言葉として使われるようになったみたいです。
エクスプロイトコードを用いた攻撃
エクスプロイトコードはWebサイトやメールに仕込まれており、閲覧しただけで攻撃を受けてしまう可能性があります。
エクスプロイトコードによる攻撃を受けるとデータが改ざんされたり、プログラムが破壊されたりします。
エクスプロイトコードへの対策
エクスプロイトコードを悪用した攻撃には次のような対策方法があります。
- OSやソフトウェアを最新の状態にする。
- 不審なメールやサイトを閲覧しない。
- セキュリティソフトを導入する。
過去問
応用情報技術者 午前試験
令和元年度秋期問42
エクスプロイトキットの説明はどれか。
ア JPEGデータを読み込んで表示する機能をもつ製品に対して、セキュリティ上の問題を発生させる可能性のある値を含んだJPEGデータを読み込ませることによって、脆弱性がないかをテストするツール
イ JVNなどに掲載された脆弱性情報の中に、利用者自身がPC又はサーバにインストールした製品に関する情報が含まれているかどうかを確認するツール
ウ OSやアプリケーションソフトウェアの脆弱性を悪用して攻撃するツール
エ Webサイトのアクセスログから、Webサイトの脆弱性を悪用した攻撃を検出するツール
正解は”ウ”
応用情報技術者 午前試験
平成31年度春期問36
情報セキュリティにおけるエクスプロイトコードの説明はどれか。
ア 同じセキュリティ機能をもつ製品に乗り換える場合に、CSV形式など他の製品に取り込むことができる形式でファイルを出力するプログラム
イ コンピュータに接続されたハードディスクなどの外部記憶装置や、その中に保存されている暗号化されたファイルなどを閲覧、管理するソフトウェア
ウ セキュリティ製品を設計する際の早い段階から実際に動作する試作品を作成し,それに対する利用者の反応を見ながら徐々に完成に近づける開発手法
エ ソフトウェアやハードウェアの脆弱性を検査するために作成されたプログラム
正解は”エ”