情報処理安全確保支援士試験 情報処理安全確保支援士試験 平成29年度秋期 午前Ⅱ 問5: 情報セキュリティにおけるエクスプロイトコードの説明はどれか。

問題本文

情報セキュリティにおけるエクスプロイトコードの説明はどれか。

選択肢

• ア.同じセキュリティ機能をもつ製品に乗り換える場合に，CSV など他の製品に取り込むことができる形式でファイルを出力するプログラム
• イ.コンピュータに接続されたハードディスクなどの外部記憶装置や，その中に保存されている暗号化されたファイルなどを閲覧，管理するソフトウェア
• ウ.セキュリティ製品を設計する際の早い段階から実際に動作する試作品を作成し，それに対する利用者の反応を見ながら徐々に完成に近づける開発手法
• エ.ソフトウェアやハードウェアの脆弱性を利用するために作成されたプログラム

正解

エ. ソフトウェアやハードウェアの脆弱性を利用するために作成されたプログラム

解説

エクスプロイトコードとは、ソフトウェアやハードウェアの脆弱性を実際に突いて攻撃を成立させるために作られたプログラム。攻撃の実証(PoC)や侵入に使われ、脆弱性が公表されると流通して攻撃が一気に増える。よってエが正しい。実務では公開エクスプロイトの有無がパッチ適用の緊急度判断に直結し、脆弱性管理やペネトレーションテストでも重要な指標となる。

選択肢ごとの解説

• ア.他製品へ移行するためのデータ出力プログラムの説明で、脆弱性を突くコードではなく誤り。
• イ.外部記憶や暗号化ファイルの閲覧・管理ソフトの説明であり、エクスプロイトとは無関係で誤り。
• ウ.試作品を作りながら完成させるプロトタイピング開発手法の説明で、攻撃コードではなく誤り。
• エ.脆弱性を利用するために作成されたプログラムというエクスプロイトコードの定義どおりで正解。