脆弱性情報を読み解く際の必須用語、exploit(エクスプロイト)とはセキュリティのアレ(35)

セキュリティ専門家が時事ネタを語る本連載。第35回はセキュリティ用語としての「exploit(エクスプロイト)」について解説します。

» 2016年10月11日 05時08分 公開
本連載に関するご意見・ご感想などはこちらまで!
Twitterハッシュタグ#セキュリティのアレ

セキュリティ対策を考える上でぜひ理解しておきたい「エクスプロイト」

 セキュリティ専門家が時事ネタなどを語る連載「セキュリティのアレ」。第35回は用語解説シリーズとして、「exploit(エクスプロイト)」を扱います。解説するのは前回に引き続き、根岸征史氏と辻伸弘氏。本連載に関するご意見、ご感想はTwitterハッシュタグ「#セキュリティのアレ」までお送りください。

@IT 編集部 宮田健、ソフトバンク・テクノロジー 辻伸弘氏、インターネット イニシアティブ 根岸征史氏 @IT 編集部 宮田健、ソフトバンク・テクノロジー 辻伸弘氏、インターネット イニシアティブ 根岸征史氏

宮田 セキュリティのアレ、第35回は用語解説シリーズです。前回の「ゼロデイ」とも関連する「exploit(エクスプロイト)」という用語を取り上げます。これはどういう意味なのでしょうか。

根岸氏 ゼロデイと同じく、専門家にとっては日常的に使う言葉ですね。名詞として用いる場合は「エクスプロイト・コード」のように組み合わせて使うことが多いのですが、アプリケーションなどの脆弱(ぜいじゃく)性を悪用して攻撃を行うコードやソフトウェアなどを指します。

 動詞として使うときは、脆弱性を悪用して攻撃する行為そのものを指します。「エクスプロイトする」といった言い方もされますね。一般的には名詞として用いられることが多い印象です。

辻氏 僕の場合、何らかの脆弱性情報が公開されたときに、「それエクスプロイトあるの?」と言うことがよくあります。脆弱性に対して、それを悪用するコードが既に存在するのかどうか、ということですね。エクスプロイトの有無によって脆弱性の危険度は変わりますから。第26回でもそのあたりについて触れました。

 動画本編ではさらに、関連する用語である「in the wild」や「PoC」などについて整理するとともに、「ローカルエクスプロイト」と「リモートエクスプロイト」の違いなどについて掘り下げ、セキュリティ対策を考える上での重要な考え方を解説していきます。ぜひご覧ください。

画像クリックで連載トップページへ

Copyright © ITmedia, Inc. All Rights Reserved.

スポンサーからのお知らせPR

注目のテーマ

AI for エンジニアリング
「サプライチェーン攻撃」対策
1P情シスのための脆弱性管理/対策の現実解
OSSのサプライチェーン管理、取るべきアクションとは
Microsoft & Windows最前線2024
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

@ITについて

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。