応用情報技術者試験 応用情報技術者試験 平成31年度春期 午前 問36: 情報セキュリティにおけるエクスプロイトコードの説明はどれか。

問題本文

情報セキュリティにおけるエクスプロイトコードの説明はどれか。

選択肢

• ア.同じセキュリティ機能をもつ製品に乗り換える場合に，CSV 形式など他の製品に取り込むことができる形式でファイルを出力するプログラム
• イ.コンピュータに接続されたハードディスクなどの外部記憶装置や，その中に保存されている暗号化されたファイルなどを閲覧，管理するソフトウェア
• ウ.セキュリティ製品を設計する際の早い段階から実際に動作する試作品を作成し，それに対する利用者の反応を見ながら徐々に完成に近づける開発手法
• エ.ソフトウェアやハードウェアの脆弱性を検査するために作成されたプログラム

正解

エ. ソフトウェアやハードウェアの脆弱性を検査するために作成されたプログラム

解説

エクスプロイトコードという用語の意味を問う問題である。エクスプロイトコードとは、ソフトウェアやハードウェアの脆弱性を突いて実際に攻撃が成立するかを検証・実証するために作成されたプログラムを指す。脆弱性の検査・実証目的で使われる一方、悪用すれば攻撃にも使われるものであり、エが正解である。

選択肢ごとの解説

• ア.他製品に取り込める形式でファイルを出力するのはデータのエクスポート機能の説明であり、エクスプロイトコードではない。
• イ.外部記憶装置や暗号化ファイルを閲覧・管理するソフトはフォレンジックツールなどの説明であり、エクスプロイトコードではない。
• ウ.試作品を作り利用者の反応を見ながら完成させるのはプロトタイピングという開発手法の説明であり、エクスプロイトコードとは無関係である。
• エ.ソフトウェアやハードウェアの脆弱性を検査するために作られたプログラムという、エクスプロイトコードの定義そのものであり正しい。