情報処理安全確保支援士試験 情報セキュリティスペシャリスト試験 平成28年度春期 午前Ⅱ 問6: 情報セキュリティにおけるエクスプロイトコードに該当するものはどれか。

問題本文

情報セキュリティにおけるエクスプロイトコードに該当するものはどれか。

選択肢

• ア.同じセキュリティ機能の製品に乗り換える場合に，CSV など他の製品が取り込める形式でファイルを出力するプログラム
• イ.コンピュータに接続されたハードディスクなどの外部記憶装置や，その中に保存されている暗号化されたファイルなどを閲覧，管理するソフトウェア
• ウ.セキュリティ製品を設計する際の早い段階から実際に動作する試作品を作成し，それに対する利用者の反応を見ながら徐々に完成に近づける開発手法
• エ.ソフトウェアやハードウェアの脆弱性を利用するために作成されたプログラム

正解

エ. ソフトウェアやハードウェアの脆弱性を利用するために作成されたプログラム

解説

エクスプロイトコードとは、ソフトウェアやハードウェアの脆弱性を実際に突いて不正な動作(コード実行や権限奪取など)を起こすために作られたプログラムを指す。攻撃の実証(PoC)にも悪用にも使われ、脆弱性公表後に急速に出回ることが多い。データ変換ツールやフォレンジック閲覧ソフト、開発手法とは無関係。実務では脆弱性公表からエクスプロイト出現までの時間差を意識し、迅速なパッチ適用が重要となる。

選択肢ごとの解説

• ア.他製品向けにファイルを出力する移行用プログラムであり、脆弱性悪用とは無関係で誤り。
• イ.外部記憶を閲覧・管理するソフトの説明で、脆弱性を突くコードではないため誤り。
• ウ.試作品を作り改良するプロトタイピングという開発手法の説明であり該当しない。
• エ.脆弱性を利用するために作られたプログラムというエクスプロイトコードの定義そのもので正しい。