exploitとは? わかりやすく解説

exploit

別表記:イクスプロォィトゥ

「exploit」とは、功績手柄快挙のことを意味する英語表現である。

「exploit」とは・「exploit」の意味

「exploit」とは、功績手柄偉業などの意味を持つ名詞英語表現である。exploitは動詞でもあり、意味としては「~を不当に利用する~を搾取する開拓する」などがある。またexploitは、主にIT業界使われている英単語と言える。尚、exploitの名詞として「exploitation」という英単語があり、「搾取利己的利用開発」などの意味持っている

「exploit」の発音・読み方

「exploit」の発音記号は「iksplɔ'it」、音節は「ex・ploit」であり、カタカナ読みは「イクスプロォィトゥ」である。発音仕方としては、最初「i」部分は「エ」と「イ」を同時に発音するイメージで「イ」と言うのがポイントである。「k」は舌の後ろ上げ上あごの奥につけて息を止めてから、舌を離して息を破裂させるように「クッ」と発音する。「s」の所は舌先前歯の裏歯茎に近づけ、その隙間から息を出して「ス」という音を出す。

「p」は唇を閉じて息を止めた状態から、唇を破裂させるように「プッ」と言う。「l」の部分は、はじめに舌先を、前歯の裏歯茎につけたまま、舌の両側から「ウ」と「ル」を同時に出すようなイメージ発音する。「ɔi」は口を大きく開け、唇を丸く前に突き出したまま「オィ」と発音するのがコツである。発音記号最後部分である「t」の所は舌先前歯の裏歯茎につけ、息を止めたまま息で破裂させるように「トゥと言う

「exploit」の活用変化一覧

「exploit」の主な活用変化以下の通りである。

・exploits(三人称単数現在形
・exploited(過去形過去分詞形)
exploiting現在分詞形)

「exploit」の語源・由来

「exploit」の語源は、「広げた」という意味があるラテン語の「explicitus」や同じラテン語で「広げる」という意味を持つ「explico」である。また古期フランス語である「esplotier(利用する)」や「esploit(利益収益)」もexploitの語源であると言われている。

「exploit」の覚え方

「exploit」の覚え方としては、カタカナ読みである「イクスプロォィトゥ」やexploitの意味である「功績~を不当に利用する」を活用して文章作成し、それを暗記しておくという方法がある。例えば「イクスプロォィトゥ」を「行くす!プロ甥」に置き換えて「行くす!プロ甥と姪の功績不当に利用する」という文章作成しておくと暗記しやすいだろう

「exploit」と「utilize」の違い

「exploit」と「utilize」はどちらも利用する」という意味合い持っている。しかしexploitの場合は、「物事不当又は違法に利用する」といった表現使われる事もある英単語である。それに対しutilizeは「利益のために利用活用する」といった意味合いがあり、有効的な利用活用表現する場合使われる英単語と言える

「exploit」の類語

「exploit」の類語としては、use使用する利用する行使する)、deed功績偉業行い)、attainment(達成功績獲得)などが挙げられる

「exploit」を含む英熟語・英語表現

「be exploited」とは


be exploited」とは、「悪用される搾取される」という意味を持つ英熟語である。例えば「子供たち悪用されてはいけない」を英訳すると「Children shall not be exploited.」となる。

「exploit」を含む様々な用語の解説

「Exploit(情報セキュリティ)」とは


情報セキュリティ分野における「Exploit」とは、OSソフトウェアなどの脆弱性利用して不正なプログラムスクリプト実行する事でコンピュータ攻撃する方法の事を指す。Exploitによって仮想通貨不正に発掘される可能性があるとも言われている。

「Exploit-DB」とは


「Exploit-DB」とは攻撃コード収集などを行っており、攻撃コード有無調べる事もできるサイトである。

「exploit」の使い方・例文

「exploit」を用いた主な例文としては、「She exploited anyone she could to become successful. (彼女は自分成功するためなら、利用できる人は誰でも利用した。)」、「She exploited her employees for her own ends.(彼女は従業員たちを自分目的のために食い物にした。)」、「He was arrested for exploiting his relationship with the politician.(彼は政治家との関係不当に利用した罪で逮捕された。」、「The company was exploiting cheap labor in developing countries. (その企業は、開発途上国で安い労働力搾取していた。)」、「We must exploit the resources we are given wisely.(私たち与えられ資源賢明に活用しなければならない。)」などが挙げられる

エクスプロイト【exploit】

読み方:えくすぷろいと

偉業手柄英雄的行為

エクスプロイトコード」の略。


エクスプロイト

(exploit から転送)

出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2022/11/18 14:03 UTC 版)

エクスプロイト (: exploit) とは、情報セキュリティにおいて、脆弱性を利用してコンピュータを攻撃するための具体的な手段、または、脆弱性を利用して標的を攻略することをいう[1]

概要

エクスプロイトとは、コンピュータのソフトウェアやハードウェアの脆弱性を利用し、コンピュータに異常な動作をさせるために書かれた、スクリプトまたはコードである。脆弱性を検証するための実証コード(Proof of concept:PoC)を指すこともある。また、前記のようなスクリプトやプログラムを用いて攻撃すること自体もエクスプロイトと呼ばれる[2]。そのため、前記のようなスクリプトやプログラムについては、エクスプロイトコード(exploit code)と呼んで区別する場合もある。エクスプロイトコードは、コンピューターに害をなす不正プログラムの一種であるため、エクスプロイトコードを表示、取得、記述、保存等した場合は、アンチウイルスソフトウェアによってマルウェアとして検知される場合があるほか、不正指令電磁的記録取得罪として処罰の対象となる可能性がある。

エクスプロイトは、英語で偉業・手柄・功績を意味し、元々はクラッカーの間で用いられていたスラングであった[2]。2014年上半期において悪用されたエクスプロイトのうち9割以上が、javaに関するものである[3]

分類

エクスプロイトは、その攻撃の種類から「DoS攻撃」と「権限昇格攻撃」に分類可能である。前者は、対象となるサービスを妨害する攻撃となる。後者は、対象となるソフトウェアの実行権限の範囲であれば、何でも実行可能である。例えば、DDoS攻撃の踏み台となるアプリケーションやバックドアの設置、機密情報や個人情報の外部への持ち出し、SQLインジェクションによるデータベース上のアクセス制限されたデータの読み書きなどが例示できるが、これらに限定されず、エクスプロイト作者の考えによってその動作は千差万別である。上記の分類は利用する脆弱性に依存し、一部の脆弱性は「DoS攻撃」としてしか利用できない。他の脆弱性は「権限昇格攻撃」として利用可能であるが、大抵は「権限昇格攻撃」によって取得した権限を用いて攻撃対象となったソフトウェアの実行停止、つまり結果として「DoS攻撃」を行うことも可能である。

「権限昇格攻撃」には「アクセス制限の回避」という特別な攻撃が含まれる。ファイアウォールなどのフィルタリングルールを回避してアクセス可能とするという攻撃で、本来アクセスできないはずのサービスへのアクセス権限を得るという「権限昇格攻撃」の一種である。例示するなら、タイニーIPフラグメント攻撃[4]やパケットフィルタリングソフトウェアの脆弱性[5]を突くような攻撃が挙げられる。但し、これらだけでは攻撃者は単にサービスへの入り口が得られるだけであるため、この脆弱性だけを利用して攻撃対象に実被害を与えるようなエクスプロイトコードは成立し得ない。

エクスプロイトは、攻撃対象の場所によって「リモートエクスプロイト」と「ローカルエクスプロイト」に分類可能である。この分類は、securityfocusなどのセキュリティ団体や脆弱性情報データベースなどで用いられている脆弱性の分類[6]と一致する。リモートエクスプロイトは、エクスプロイトコードの実行マシンと攻撃対象マシンが異なる場合を指し、ローカルエクスプロイトは、エクスプロイトコードの実行マシンと攻撃対象マシンが同一である場合を指す。例えば、リモート端末への一般ユーザ権限での不正アクセスを実現するエクスプロイトがリモートエクスプロイト、不正アクセス後にリモート端末へエクスプロイトコードを転送した後、リモート端末上で実行し管理者権限を不正に得るエクスプロイトがローカルエクスプロイトといった具合である。

エクスプロイトは、攻撃対象の種類によって「ソフトウェア」を対象としたものと「テキストコンテンツ」を対象としたものに分類可能である。旧来は前者、とりわけバイナリ形式のソフトウェアが主流であったが、CGIなどの動的にHTMLを生成する仕組みが使われ始めると、テキスト形式の言語が用いられることが多いCGIスクリプトがコードインジェクションの対象となった。バイナリ形式のソフトウェアに比べてマシン語の理解が不要なテキスト形式のソフトウェアは、攻撃する上で必要となる知識量が少なく、Webコンテンツの書き換えに重宝された。ネットショッピングなどSQLデータベースを用いたWebアプリケーションが登場すると、データベースへの不正アクセスのためにSQLインジェクションが用いられるようになった。また、クロスサイトスクリプティングのように、クライアントソフトウェアを対象としたリモートエクスプロイトも登場するようになった。JavaScriptはテキストベースの言語であるため、前記同様、バイナリベースのエクスプロイト[7]にくらべて攻撃に必要な知識量が少ないことなどから、クライアントを対象としたエクスプロイトを成功させる上で重宝された。

これらの分類は、主流や傾向はあるが、特定一部のものを除いて独立した概念である。「DoS攻撃」で「リモートエクスプロイト」であるものには「Land攻撃」などが挙げられる。「DoS攻撃」で「ローカルエクスプロイト」であるものには「Pentium F00F バグ」や「CONCON問題」を用いたエクスプロイトが挙げられる。「テキストコンテンツ」を対象としたものは総じて「リモートエクスプロイト」に限定されがちである。「SQLインジェクション」はほとんどの場合「リモートエクスプロイト」の「権限昇格攻撃」となるが、「SQL解釈に不具合を持つ、特定のSQLを発行するとサーバが高負荷となり、正常なサービスを提供できなくなる」といった形で「DoS攻撃」となることも全くないわけではない。

エクスプロイト、とりわけ権限昇格攻撃は、空き巣に例えれば、窓や扉を無化する工具であると言えよう。これらを実行することにより、攻撃者たちは、被害者のパソコンに侵入する突破口をこじ開けることが可能となる。エクスプロイトの中でも、 未知である脆弱性を利用するものは通称ゼロデイ(0day)と呼ばれる。

ペイロード

ペイロードとは、エクスプロイトがこじ開けた穴を通してどのような行為を行うのかを指示するコードである。ほとんどのエクスプロイトは、このペイロードがコードの一部に含まれている。 ペイロードが、被害者に対する攻撃の内容を決定する。 例えば、ウェブサーバの脆弱性を利用して侵入後、別のウェブサーバ上にあらかじめアップロードした悪意あるプログラムをダウンロードし、インストールさせるコードをペイロードとして盛り込んでおけば、その通りに実行される。

バッファオーバーラン、とりわけReturn-to-libc攻撃書式文字列攻撃などはエクスプロイトに頻繁に用いられる攻撃手法の一つであり、書き換えられるリターンアドレス部分にペイロードが組み込まれることになる。

対策

エクスプロイトが利用するのは脆弱性である。すなわち、常に脆弱性に関する最新情報に注意を払い、脆弱性を解消するパッチなどを適用する、パッチが適用されるまでに時間が必要な場合[注 1]や、テスト系でのパッチの評価に時間がかかるために運用系に適用できないような場合は、回避策が公開されている場合は回避策を施し[8]、回避策が公開されていない場合にはそのソフトウェアの脆弱性を持った機能あるいはそのソフトウェア自体の使用を一時中止するというのも検討候補に挙げられる。コンピュータセキュリティに深く関与する者、企業などの団体のネットワーク管理者などであれば、このような対策となるであろう。

コンピュータセキュリティに深く関与していない一般ユーザーの視点では、上記のようなことを継続的に行うのは現実的でないと言える。そのようなユーザーの場合は、使用しているソフトウェア(オペレーティングシステムを含む)の最新バージョン情報に注意を払い、常に最新の状態を保つことが大切である。Microsoft Updateなどのように、ソフトウェアがオンラインによるバージョン更新やバージョン更新通知をサポートしている場合は、これらを利用することも有用である。また、Webブラウズやメール受信に用いているマシンでは、マルウェアを検出および除去可能なアンチウイルスソフトウェアを導入することが重要な対策となりうる。この場合も、定義ファイルを最新の状態に保っておくことが大切である。

また、利用者が多いソフトウェアや脆弱性がよく見つかるソフトウェアは、総じてエクスプロイトの攻撃対象となりやすい。頻繁にエクスプロイトの攻撃対象となっているのであれば、代替のソフトウェアやハードウェアがあるならそれらへの置き換えを行うことも、検討に値する予防策と言える。

脚注

[脚注の使い方]

注釈

  1. ^ CERT/CC脆弱性情報公開ポリシーでは「脆弱性の情報を受けてから45日経過した時点で、ベンダーによる対策の有無に関わらず、脆弱性情報を公開する」としている。また、BugtraqのFAQ(参考:日本語訳)では、脆弱性が重大であり、セキュリティコミュニティに報告することがメーカーからの対策を待つよりも重要であると考えた場合には、メーカーからの対策に優先してコミュニティに報告しても良いとしている。これらの状況下では、ベンダーによる対策が行われていない段階で脆弱性が公開されることになる。他には、2011年8月19日にFull Disclosure MLで攻撃コードが公開され、ベンダーが対策を施すよりも前に攻撃手法が広く知られることとなったApache Killerのようなケースの場合も、パッチ適用までに時間を要するケースといえる。

出典

  1. ^ ネットワークセキュリティ関連用語集(アルファベット順):IPA 独立行政法人 情報処理推進機構”. www.ipa.go.jp. 2020年9月19日閲覧。
  2. ^ a b Jargon File : exploit”. 2010年6月19日閲覧。
  3. ^ ウェブ経由の攻撃エクスプロイト、「Java」狙い9割(security next)
  4. ^ RFC 1858 : IP フラグメントフィルタリングについてのセキュリティ上の考察”. 2010年6月19日閲覧。
  5. ^ FreeBSD IPFW Me Point To Point Interface Address Addition Vulnerability”. 2010年6月19日閲覧。 - パケットフィルタリングソフトウェアの脆弱性の例。
  6. ^ Adobe Reader and Acrobat 'newplayer()' JavaScript Method Remote Code Execution Vulnerability”. 2010年6月19日閲覧。 - 脆弱性の分類としての「リモート」と「ローカル」の例。Remote欄およびLocal欄を参照。
  7. ^ CVE-2009-0658 : Adobe ReaderおよびAcrobatにおけるバッファオーバーフローの脆弱性”. 2010年6月22日閲覧。 - バイナリベースのエクスプロイトの例。
  8. ^ FreeBSD-SA-09:11.ntpd : ntpd stack-based buffer-overflow vulnerability”. 2010年6月19日閲覧。 - 回避策がベンダーから公開されている例。

関連項目

外部リンク

  • SecurityFocus セキュリティ業界最大のコミュニティポータルであり、脆弱性に関する最新の情報を公開している。

exploit

出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2021/01/02 03:29 UTC 版)

Metasploit」の記事における「exploit」の解説

攻撃対象として用意されているexploitの対象OSWindowsが多いが、LinuxなどのUnix系OS少なからず用意されている。

※この「exploit」の解説は、「Metasploit」の解説の一部です。
「exploit」を含む「Metasploit」の記事については、「Metasploit」の概要を参照ください。

ウィキペディア小見出し辞書の「exploit」の項目はプログラムで機械的に意味や本文を生成しているため、不適切な項目が含まれていることもあります。ご了承くださいませ。 お問い合わせ


英和和英テキスト翻訳>> Weblio翻訳
英語⇒日本語日本語⇒英語
  

辞書ショートカット

すべての辞書の索引

「exploit」の関連用語

exploitのお隣キーワード
検索ランキング

   

英語⇒日本語
日本語⇒英語
   



exploitのページの著作権
Weblio 辞書 情報提供元は 参加元一覧 にて確認できます。

   
実用日本語表現辞典実用日本語表現辞典
Copyright © 2025実用日本語表現辞典 All Rights Reserved.
デジタル大辞泉デジタル大辞泉
(C)Shogakukan Inc.
株式会社 小学館
ウィキペディアウィキペディア
All text is available under the terms of the GNU Free Documentation License.
この記事は、ウィキペディアのエクスプロイト (改訂履歴)の記事を複製、再配布したものにあたり、GNU Free Documentation Licenseというライセンスの下で提供されています。 Weblio辞書に掲載されているウィキペディアの記事も、全てGNU Free Documentation Licenseの元に提供されております。
ウィキペディアウィキペディア
Text is available under GNU Free Documentation License (GFDL).
Weblio辞書に掲載されている「ウィキペディア小見出し辞書」の記事は、WikipediaのMetasploit (改訂履歴)の記事を複製、再配布したものにあたり、GNU Free Documentation Licenseというライセンスの下で提供されています。

©2025 GRAS Group, Inc.RSS