応用情報技術者試験 応用情報技術者試験 令和6年度秋期 午前 問46: エクスプロイトコードの説明はどれか。

問題本文

エクスプロイトコードの説明はどれか。

選択肢

• ア.攻撃コードとも呼ばれ，ソフトウェアの脆弱性を悪用するコードのことであり，使い方によっては脆弱性の検証に役立つこともある。
• イ.マルウェア定義ファイルとも呼ばれ，マルウェアを特定するための特徴的なコードのことであり，マルウェア対策ソフトによるマルウェアの検知に用いられる。
• ウ.メッセージとシークレットデータから計算されるハッシュコードのことであり，メッセージの改ざん検知に用いられる。
• エ.ログインのたびに変化する認証コードのことであり，不正に取得しても再利用できないので不正アクセスを防ぐ。

正解

ア. 攻撃コードとも呼ばれ，ソフトウェアの脆弱性を悪用するコードのことであり，使い方によっては脆弱性の検証に役立つこともある。

解説

エクスプロイトコード（exploit code）は攻撃コードとも呼ばれ、ソフトウェアの脆弱性を実際に悪用して不正動作を引き起こすために作られたプログラムである。攻撃に使われる一方、自組織のシステムに脆弱性が本当に存在するかを確認する検証（ペネトレーションテスト等）にも利用できる。したがって“脆弱性を悪用するコードで、脆弱性の検証にも役立つ”としたアが正解となる。

選択肢ごとの解説

• ア.正しい。エクスプロイトコードは脆弱性を悪用する攻撃コードであり、使い方次第で脆弱性の有無を確かめる検証にも役立つ。
• イ.マルウェアを特定する特徴的なコード（マルウェア定義ファイル＝シグネチャ）の説明であり、エクスプロイトコードとは別物なので誤り。
• ウ.メッセージとシークレットデータから計算され改ざん検知に使うのは MAC（メッセージ認証符号）の説明であり、エクスプロイトコードではないため誤り。
• エ.ログインのたびに変化し再利用できない認証コードはワンタイムパスワードの説明であり、エクスプロイトコードではないため誤り。