通信用語の基礎知識 IPv4
戻る
参加者募集中

エクスプロイトコード

辞書:通信用語の基礎知識 通信技術安全編 (CTSEC)
読み:エクスプロイト・コード
外語:exploit code 英語
品詞:名詞
2008/02/12 作成
2010/11/01 更新

ソフトウェア脆弱性(セキュリティホール)を悪用(エクスプロイト)したプログラムの総称。

目次

実際に攻撃を目的として作られたマルウェアの他に、この問題を検証するために作られた悪意の無いものも含まれる。

簡易な検証用コードとしてのエクスプロイトコードの目的は、新しい脆弱性が発見された時に、その問題を再現させることにある。

ソフトウェアに問題があったとしても、その現象が再現させられなければ、問題箇所の特定と修正は難しい。エクスプロイトコードはその問題を再現させ、どこに問題があるのかを明確に示す目的がある。また、その問題の程度を利用者に周知させることも目的となる。

これまでも、様々なソフトウェアについてエクスプロイトコードが発表され、現実に攻撃が可能なことを実証することがなされてきた。

エクスプロイトコード自体は、あくまで検証が目的である。しかし、その振る舞いを少し変えるだけで簡単にクラックツールやコンピューターウイルスの類を作ることができてしまうという問題がある。

「検証用コード」と言えば聞こえが良いが、これはある意味バグと攻撃ツールを同時に発表しているのと何ら変わらない。

しかも、エクスプロイトコードが発表されてから、実際に修正され、それらがきちんとあらゆる環境に行き渡るまでは時間が掛かるため、ゼロデイアタックを蔓延させるという問題もある。

このため、危険性の周知は重要だが、そのまま悪用できるものを公開してしまうのは無責任ではないか、という声も強くあがっている。

コメントなどを投稿するフォームは、日本語対応時のみ表示されます


KisoDic通信用語の基礎知識検索システム WDIC Explorer Version 7.03 (16-May-2019)
Search System : Copyright © Mirai corporation
Dictionary : Copyright © WDIC Creators club