応用情報技術者試験 応用情報技術者試験 令和元年度秋期 午前 問42: エクスプロイトキットの説明はどれか。

問題本文

エクスプロイトキットの説明はどれか。

選択肢

• ア.JPEGデータを読み込んで表示する機能をもつ製品に対して，セキュリティ上の問題を発生させる可能性のある値を含んだJPEGデータを読み込ませることによって，脆弱性がないかをテストするツール
• イ.JVNなどに掲載された脆弱性情報の中に，利用者自身がPC又はサーバにインストールした製品に関する情報が含まれているかどうかを確認するツール
• ウ.OSやアプリケーションソフトウェアの脆弱性を悪用して攻撃するツール
• エ.Webサイトのアクセスログから，Webサイトの脆弱性を悪用した攻撃を検出するツール

正解

ウ. OSやアプリケーションソフトウェアの脆弱性を悪用して攻撃するツール

解説

エクスプロイト（exploit）とは脆弱性を“悪用する”という意味で，エクスプロイトキットは，OSやアプリケーションソフトウェアの脆弱性を突いて攻撃するためのコード（エクスプロイトコード）をまとめたツール群である。攻撃者は専門知識が乏しくてもこのキットを使うだけで攻撃を仕掛けられる点が問題視される。したがって，脆弱性を悪用して攻撃するツールと述べたウが正解である。

選択肢ごとの解説

• ア.問題を起こしそうな値を含むデータを読み込ませて脆弱性の有無を調べるのはファジング用のツールの説明であり，攻撃ではなく検査が目的なので誤り。
• イ.JVNなどの脆弱性情報と自分の利用製品を照合するのは脆弱性管理（脆弱性チェック）のツールであり，攻撃ツールではない。
• ウ.正しい。OSやアプリケーションの脆弱性を悪用して攻撃するためのコードを集めたものがエクスプロイトキットである。
• エ.アクセスログから攻撃を検出するのはIDSやログ分析の説明であり，攻撃を行うエクスプロイトキットとは目的が逆である。