応用情報技術者 2019年 春期 午前2 問36
問題文
情報セキュリティにおけるエクスプロイトコードの説明はどれか。
選択肢
ア:同じセキュリティ機能をもつ製品に乗り換える場合に,CSV形式など他の製品に取り込むことができる形式でファイルを出力するプログラム
イ:コンピュータに接続されたハードディスクなどの外部記憶装置や、その中に保存されている暗号化されたファイルなどを閲覧、管理するソフトウェア
ウ:セキュリティ製品を設計する際の早い段階から実際に動作する試作品を作成し、それに対する利用者の反応を見ながら徐々に完成に近づける開発手法
エ:ソフトウェアやハードウェアの脆弱性を検査するために作成されたプログラム(正解)
情報セキュリティにおけるエクスプロイトコードの説明【午前2 解説】
要点まとめ
- 結論:エクスプロイトコードとは、脆弱性を悪用するために作成されたプログラムであり、正解は「エ」です。
- 根拠:脆弱性を検査・攻撃に利用するコードで、セキュリティ上のリスク評価や攻撃手法の理解に不可欠です。
- 差がつくポイント:エクスプロイトコードと単なる管理ソフトや開発手法とを混同しないことが重要です。
正解の理由
選択肢「エ」は「ソフトウェアやハードウェアの脆弱性を検査するために作成されたプログラム」とあり、これはエクスプロイトコードの本質を正確に表しています。エクスプロイトコードは、脆弱性を突くための具体的なコードであり、セキュリティの脆弱性を検証したり、攻撃を実行したりするために使われます。したがって、「エ」が正解です。
よくある誤解
エクスプロイトコードは単なる管理ソフトや開発手法ではなく、脆弱性を直接狙う攻撃用コードである点を誤解しやすいです。
解法ステップ
- 問題文の「エクスプロイトコード」の意味を確認する。
- 各選択肢の説明文を読み、エクスプロイトコードの定義に合致するものを探す。
- 「脆弱性を検査するためのプログラム」という表現がある選択肢を特定する。
- 他の選択肢がエクスプロイトコードの説明と異なることを確認する。
- 「エ」を正解として選択する。
選択肢別の誤答解説
- ア:CSV形式でファイルを出力するプログラムはデータ変換ツールであり、エクスプロイトコードとは無関係です。
- イ:外部記憶装置の管理ソフトはストレージ管理ツールであり、脆弱性を狙うコードではありません。
- ウ:開発手法の説明であり、エクスプロイトコードの意味とは異なります。
- エ:脆弱性を検査・攻撃するためのプログラムであり、正解です。
補足コラム
エクスプロイトコードはセキュリティ研究やペネトレーションテストで利用されることもありますが、悪用されると重大なセキュリティインシデントを引き起こします。最新のセキュリティ対策では、こうしたコードの検出と防御が重要視されています。
FAQ
Q: エクスプロイトコードは必ず悪意のあるものですか?
A: いいえ。セキュリティ検査や研究目的で作成されることもありますが、悪用されるリスクも高いです。
A: いいえ。セキュリティ検査や研究目的で作成されることもありますが、悪用されるリスクも高いです。
Q: エクスプロイトコードとマルウェアは同じですか?
A: エクスプロイトコードは脆弱性を突くコードで、マルウェアは悪意あるソフト全般を指します。エクスプロイトコードはマルウェアの一部になることもあります。
A: エクスプロイトコードは脆弱性を突くコードで、マルウェアは悪意あるソフト全般を指します。エクスプロイトコードはマルウェアの一部になることもあります。
関連キーワード: エクスプロイトコード、脆弱性、セキュリティ検査、ペネトレーションテスト、攻撃コード
\ せっかくなら /
応用情報技術者を
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!