ホーム > 情報処理安全確保支援士試験 > 2017年 秋期
情報処理安全確保支援士試験 2017年 秋期 午前2 問05
情報セキュリティにおけるエクスプロイトコードの説明はどれか。
ア:同じセキュリティ機能をもつ製品に乗り換える場合に, CSV など他の製品に取り込むことができる形式でファイルを出力するプログラム
イ:コンピュータに接続されたハードディスクなどの外部記憶装置や, その中に保存されている暗号化されたファイルなどを閲覧, 管理するソフトウェア
ウ:セキュリティ製品を設計する際の早い段階から実際に動作する試作品を作成し, それに対する利用者の反応を見ながら徐々に完成に近づける開発手法
エ:ソフトウェアやハードウェアの脆弱性を利用するために作成されたプログラム(正解)
解説
情報セキュリティにおけるエクスプロイトコードの説明はどれか【午前2 解説】
要点まとめ
- 結論:エクスプロイトコードとは、脆弱性を悪用するために作成されたプログラムである。
- 根拠:ソフトウェアやハードウェアの弱点(脆弱性)を狙い、攻撃や不正アクセスを可能にするコードだからである。
- 差がつくポイント:エクスプロイトコードは単なるツールではなく、特定の脆弱性を狙った攻撃用プログラムである点を理解することが重要。
正解の理由
選択肢エは「ソフトウェアやハードウェアの脆弱性を利用するために作成されたプログラム」とあり、これはエクスプロイトコードの定義そのものです。エクスプロイトコードは、システムのセキュリティホールを突いて不正操作や情報漏洩を引き起こすために使われます。したがって、正解はエです。
よくある誤解
エクスプロイトコードは単なる便利なツールや開発手法ではなく、攻撃目的のプログラムであることを混同しやすいです。特にセキュリティ製品の設計やファイル管理ソフトと混同しないよう注意が必要です。
解法ステップ
- 問題文の「エクスプロイトコード」の意味を正確に把握する。
- 各選択肢の説明文を読み、エクスプロイトコードの定義と照合する。
- 脆弱性を利用するプログラムである選択肢を特定する。
- 他の選択肢がエクスプロイトコードの説明と異なることを確認する。
- 正解の選択肢エを選ぶ。
選択肢別の誤答解説
- ア:CSVなどのファイル形式でデータを出力するプログラムは、エクスプロイトコードとは無関係です。
- イ:外部記憶装置や暗号化ファイルを管理するソフトウェアは、セキュリティツールや管理ツールであり攻撃コードではありません。
- ウ:セキュリティ製品の試作品を作成する開発手法は「プロトタイピング」などの開発技法であり、攻撃コードとは異なります。
- エ:脆弱性を利用するためのプログラムであり、エクスプロイトコードの正しい説明です。
補足コラム
エクスプロイトコードは攻撃者が脆弱性を突く際に使う重要なツールであり、セキュリティ対策ではこれを検知・防御することが求められます。脆弱性情報とエクスプロイトコードの公開はセキュリティリスクを高めるため、適切な管理が必要です。
FAQ
Q: エクスプロイトコードは必ず悪意のあるものですか?
A: 基本的には攻撃目的ですが、脆弱性検証やペネトレーションテストで合法的に使われることもあります。
A: 基本的には攻撃目的ですが、脆弱性検証やペネトレーションテストで合法的に使われることもあります。
Q: エクスプロイトコードとマルウェアは同じですか?
A: エクスプロイトコードは脆弱性を突くコードで、マルウェアは悪意あるソフト全般を指します。エクスプロイトコードはマルウェアの一部になることもあります。
A: エクスプロイトコードは脆弱性を突くコードで、マルウェアは悪意あるソフト全般を指します。エクスプロイトコードはマルウェアの一部になることもあります。
関連キーワード: エクスプロイトコード, 脆弱性, セキュリティ攻撃, ペネトレーションテスト, 脆弱性利用