■PoC(proof of concept)
一般的には「コンセプト(概念)を実証するためのもの」という意味。新しいコンセプトやアーキテクチャを説明したり、実証したりするために作られる製品や設備、ソフトウェアのこと。セキュリティ分野では、脆弱性を実証するためのプログラムを指す。ほぼエクスプロイト・コード(実証コード)と同義として使われることが多い。
・エクスプロイト・コード(Exploit code):
http://www.hotfix.jp/archives/word/2003/word03-13.html
脆弱性は、特定の条件下によって引き起こされるケースがある。またOSや修正プログラムの適用状況によって、脆弱性の影響範囲が変わることもある。そこで見つかった脆弱性が、どのような条件で悪意のあるプログラムなどを実行可能とするかを証明するために、PoCは作られる。PoCを利用することで、脆弱性の対策が可能になる一方、PoCがウイルスやワームなどに改変される例も増えてきている。
TechNetセキュリティ情報「MS04-028(JPEG 処理 (GDI+) のバッファ オーバーランにより、コードが実行される)」の脆弱性に対しても、「PoC」として脆弱性の有無が確認可能なJPEGファイルを作成可能なプログラムが公開されている。PoCとして公開されているプログラムの中には、リンク先の実行ファイルを用意するだけで、ウイルスやワームに改変可能なものもある。たとえ検証目的であっても、取り扱いには十分に注意したい。
|