ITmedia NEWS > セキュリティ >
ニュース
» 2021年01月12日 07時57分 公開

IT基礎英語:「exploit」の多さは筆頭級、悪用多発のFlash終了

Adobe Flashがついにサポート終了。Flashについてよく言われていたexploitという言葉について解説する。

[鈴木聖子,ITmedia]

 Flash Playerのサポートが2020年末で終了した。Flashといえば、次々に脆弱性が発覚してはサイバー攻撃に悪用されるようになり、「Most exploited software(最も悪用されるソフトウェア)」のワーストランキングでは常に筆頭級。たしかに昔はお世話になったけれど、だんだん毛嫌いされて邪魔者扱いされる存在になっていた。

Flash Player remained a ubiquitous tool for desktop across multiple web browsers, with more than 1 billion users just a decade ago, making it a particularly useful vulnerability for hackers to exploit.(CNN

 Flash Playerは複数のWebブラウザにまたがって普及していたデスクトップ向けのツールだった。わずか10年前まで10億を超すユーザーがいて、ハッカー集団がexploitするには特に有用な脆弱性と化していた。

 もちろんFlashに限らず、どんなソフトウェアにも脆弱性はある。そして脆弱性が発覚すれば「exploit」が付いて回る。

 動詞のexploitには、利用する、活用する、搾取する、悪用する、などの意味がある。必ずしも悪いことばかりに使われるとは限らないけれど、コンピュータセキュリティの世界では主に「悪用」の意味で使われる。

 例えばFlashの脆弱性が見つかった場合、発見者がまず作成するのが「proof of concept(コンセプト実証コード)」。これは「ここにこんな弱点がありますよ」ということを証明するためのプログラムで、この段階ではまだ実際の攻撃に利用することはできない。

 けれどその脆弱性をexploitして、Flashがインストールされたコンピュータに侵入しようと思う人がすぐに現れ、脆弱性やコンセプト実証コードを詳しく調べて、サイバー攻撃に使うためのプログラムを開発する。そうしたプログラムのことを「exploit code」、または単純に「exploit」と呼ぶ。

 この名詞としてのexploitは、「悪用コード」「攻撃コード」と訳すこともあるけれど、業界では面倒だからか「エクスプロイト」とそのままカタカナにして使うことも多い。

 脆弱性にもいろいろな程度があって、exploitが難しいものもあれば、簡単に悪用できてしまうものもある。Microsoftはその程度を「Exploitability Index(悪用可能性指標)」という4段階の指標で分類している

photo Exploitability Index
photo Exploitability Indexの4段階の説明

 Windowsのように広く普及しているソフトウェアの場合、脆弱性が発覚すればわずか数日でexploitが出回ることもある。特に「reliable exploit(安定した悪用コード)」「working exploit(実用的な悪用コード)」が出現したら要注意。例えばかつて大きな被害を出したランサムウェア「WannaCry」のように、大規模なサイバー攻撃を引き起こしかねない。

 exploitを防ぐためにはソフトウェアを更新して脆弱性を解決する対策が欠かせない。Flash Playerのようにサポート期限切れになったソフトや、使わないソフトはアンインストールを忘れずに。

Copyright © ITmedia, Inc. All Rights Reserved.