セキュリティ・ホールを攻撃するための小さなプログラム、またセキュリティ・ホールを実証するためのプログラムを「Exploit code」と呼びます。両者はまったく正反対の性格を持ちますが、セキュリティ・ホールを実証するために公開されたプログラムを改変することで、簡単にセキュリティ・ホールを悪用するためのプログラムが作れるようになるため、両者は表裏一体の関係といえます。

　Windows OSでは、インストールされたアプリケーションや修正プログラムの適用具合などによってセキュリティ・ホールの状況が大きく異なる場合があります。そのため、セキュリティ・ホールを発見した人によっては、それがどのOSのどういったバージョンに影響するものなのかを広く実証・検証するためにExploit codeを作成し、それをセキュリティ関連のメーリング・リストや掲示板などで配布し、多くの人に確認してもらうことがあります。このような目的で作成されたExploit codeは、攻撃が可能であることを示すメッセージを表示したり、画像を表示するようなプログラムを起動したりします。こうしたExploit codeを多くの人が試すことで、実際には特殊な条件下でしかセキュリティ・ホールにならないものであることが分かったり、逆に特定のOSやサービスパックでのみ発生すると考えられていたセキュリティ・ホールが別の環境でも見つかったりすることがあります。また、修正プログラムの公開後においては、Exploit codeを実行することで、セキュリティ・ホール対策が行われているかどうかのセキュリティ診断ツールとして利用することも可能です。このようにExploit codeが善意で使われている場合においては、セキュリティの向上に役立つプログラムとなります。

　しかし、一方でこうして配布されたExploit codeを改変することで、本来はメッセージを表示するだけであったものを、システムを破壊するようなワームや攻撃ツールに作り変えることを可能にします。こうした例の典型として、2003年8月中旬に猛威を振るった「Blasterワーム」が挙げられます。Blasterワームが攻撃するRPCインターフェイスのセキュリティ・ホールは、2003年7月17日にマイクロソフトが修正プログラムの提供を開始したことで存在が明らかになりました。9日後の7月26日には早くもExploit codeが公開され、8月4日にはこのExploit codeを悪用したトロイの木馬型ウイルスが、8月11日にはBlasterワームがウイルス対策ソフトウェア・ベンダによってそれぞれ検出されています。このようにExploit codeが公開されると、場合によっては数日でExploit codeを悪用したウイルスやワームが登場します。

　このように悪用される可能性があるため、研究や対策目的という善意であってもExploit codeを公開することに対しては、批判的な声も多くあります。一方で、Exploit codeをセキュリティ対策サイトなどで非公開にしたとしても、結局アンダーグラウンドでは流通してしまうため、むしろ対策が行えず危険性が高まるという意見もあります。現在はどちらかというと、Exploit codeは積極的に公開される傾向にあるようです。前述のように、Exploit codeが公開されると数日でウイルスやワームが登場しますので、日ごろからのセキュリティ対策が重要となります。

HotFix