ITセキュリティのアライ出し (7) 標的型攻撃に関する一考察(4) - 脆弱性発見手法の進化(前編) | マイナビニュースこれまで3回にわたって標的型攻撃を説明してきた。説明には、現在の状況を読者諸兄に知っていただくべく、なるべく実際の資料を使うようにしてきた。今回述べるのは、標的型攻撃だけに関連する事柄ではないが、重要な視点だと筆者は思っている。 脆弱性を発見するためには? 筆者がよく質問されることのひとつに「脆弱性を発見するにはどうしたらいいか?」ということがある。ざっと整理すると、脆弱性を発見する手法には、以下の4種類があると思う。 ブラックボックステスト リバースエンジニアリング 類似法 テストツールの使用 それぞれについて個別に説明するのは稿を改めたい。今回説明するのは最後の「テストツールの使用」についてである。テストツールというのは、アプリケーションを開発する際に、適切に動作するかどうかを試すソフトである。ソースコード監査を行い、バッファオーバーフローのような致命的な脆弱性を見つけ出すことのできる
