エクスプロイトコード
読み:エクスプロイト-コード
外語:exploit code
ソフトウェアの脆弱性(セキュリティホール)を悪用(エクスプロイト)したプログラムの総称。
概要
実際に攻撃を目的として作られたマルウェアの他に、この問題を検証するために作られた悪意の無いものも含まれる。
簡易な検証用コードとしてのエクスプロイトコードの目的は、新しい脆弱性が発見された時に、その問題を再現させることにある。
ソフトウェアに問題があったとしても、その現象が再現させられなければ、問題箇所の特定と修正は難しい。エクスプロイトコードはその問題を再現させ、どこに問題があるのかを明確に示す目的がある。また、その問題の程度を利用者に周知させることも目的となる。
これまでも、様々なソフトウェアについてエクスプロイトコードが発表され、現実に攻撃が可能なことを実証することがなされてきた。
問題
エクスプロイトコード自体は、あくまで検証が目的である。しかし、その振る舞いを少し変えるだけで簡単にクラックツールやコンピューターウイルスの類を作ることができてしまうという問題がある。
「検証用コード」と言えば聞こえが良いが、これはある意味バグと攻撃ツールを同時に発表しているのと何ら変わらない。
しかも、エクスプロイトコードが発表されてから、実際に修正され、それらがきちんとあらゆる環境に行き渡るまでは時間が掛かるため、ゼロデイアタックを蔓延させるという問題もある。
このため、危険性の周知は重要だが、そのまま悪用できるものを公開してしまうのは無責任ではないか、という声も強くあがっている。
再検索