情報処理安全確保支援士(情報セキュリティスペシャリスト)試験に合格するためのサイトです。
過去問を多数引用しながら、基礎知識をしっかり学んでもらうように作ってあります。
また、情報処理安全確保支援士(情報セキュリティスペシャリスト)を楽しく学べるように工夫したいと思います。
カテゴリ:

11.マルウェア

未知マルウェアの対策というのは簡単ではありません。ここでは、対策の一例を過去問(H28SC春午後Ⅱ問2)を紹介します。
Cさん:未知マルウェア対策として,図7の案を考えました。未知のマルウェアを全て検知するのは無理です。そのため,未知のマルウェアヘの感染を前提とした対策も必要です。
【未知のマルウェアの検知を目的とした対策】
・入口対策:Web閲覧やメールで入ってきたファイルをサンドボックスで実行し,振る舞いを調べることによってマルウェアを検知する対策など
・出口対策:レピュテーションやアノマリ検知によって,C&C通信を発見する対策など
【未知のマルウェアヘの感染を前提とした対策】
・マルウェアに感染しても情報が漏えいしない対策(データの暗号化など)
・マルウェアに感染しても感染前の状態に戻せる対策(フートイメージからの復元など)
図7 未知マルウェア対策案(抜粋)

D部長:我が社のモバイルPCではハードディスクの暗号化を行っていますが,マルウェア感染時の情報漏えいを防げますか。
Cさん:残念ながら, ③マルウェア感染による情報漏えい対策としては役に立ちません。そうした情報漏えいを防ぐためにはDRMのような仕組みが必要になり,取引先にも影響があります。
D部長:なるほど。ブートイメージからの復元というのはどのようなものですか。
Cさん:ブートイメージとはOSの起動に必要なファイルや標準ソフトなどをひとまとめにしたものです。これを読取り専用領域に保存し,起動時に読み込ませることで,動作環境を復元します。実装方法として,モバイルPC上に読取り専用領域を作成する方法と,図8のように,仮想端末上でゲストOSを動かす,画面転送型の仮想デスクトップ環境(以下,VDIという)の二つがあります。

設問5(1)本文中の下線③について,役に立たない理由を40字以内で述べよ。
(2)モバイルPC上に読取り専用領域を作成する対策の場合、再起動時に一部のセキュリティ対策が初期化されるデメリットがある。その具体例を二つ,それぞれ25字以内で述べよ。
ここにあるように、マルウェアを検知するには、入口対策としてサンドボックス、出口対策としてURLフィルタリングなどによるC&Cサーバへの通信制御などがあります。
また、そもそも、マルウェアに感染する前提の対策も述べられています。つまり、マルウェアに感染しても情報漏えいが起きないようにするのです。

設問を解いてみましょう。

設問5(1) ハードディスクを暗号化すると、PCの紛失や盗難によって、不正な第三者に情報を見られることを防げます。しかし、OSを起動してログインしたユーザは、ファイルを見ることができます。これはマルウェアも同じです。試験センターの解答例は以下ですが、透過的というキーワードは書けなくてもいいでしょう。

【解答例】マルウェアからハードディスク内の情報が透過的に見えてしまうから

(2)解答例は
【解答例】
・AMのマルウェア定義ファイルが初期状態に戻る
※問題文の前半にて、AMがマルウェア対策ソフトであると定義されている
・セキュリティパッチが適用前の状態に戻る

DRMに関しては、DRMの記事も参考にしてください。

未知マルウェア対策の記事でも書きましたが、過去問(H28SC春午後Ⅱ問2)では、未知マルウェアの入口対策として、「Web閲覧やメールで入ってきたファイルをサンドボックスで実行し,振る舞いを調べることによってマルウェアを検知する対策」という記述があります。
サンドボックスとは、砂場という意味です。砂場という囲まれた中でマルウェアを動作させ、そこで、不審な振る舞いをしないのかをチェックします。製品としては、FireEye社のものや、TrendMicro社のDeepDiscovery、ForiGate社のFortiSandboxなどがあります。
情報セキュリティスペシャリスト試験を目指す女性SE  

じゃあ、振る舞い検知とはどう違うのですか?
たしかに、既存のウイルス対策製品であるSymantecやTrendMicroのエンドポイント製品にも、振る舞い検知機能はあります。
サンドボックスは、振る舞い検知などを行う点では同じですが、隔離されたサンドボックス環境を作るのがポイントです。ですから、基本的にはゲートウェイ製品にて実現されます。
ゲートウェイ製品には、WindowsXP、Windows7、Windows8、Linuxなどの異なるOSやブラウザを持つサンドボックスが複数用意され、マルウェアをその中で検査をします。

過去問では、サンドボックスの仕組みに関して、「プログラムの影響がシステム全体に及ばないように,プログラムが実行できる機能やアクセスできるリソースを制限して動作させる。(H29春SC午前Ⅱ問16)」「不正な動作の可能性があるプログラムを特別な領域で動作させることによって,他の領域に悪影響が及ぶのを防ぐ。(H28秋AP午前問44)」と述べられています。


DRM(ディジタル著作権管理)は、「コンテンツの著作権を保護し,利用や複製を制限する技術の総称(H27秋IP問46)」です。H23年NW午後Ⅰでも穴埋めでこのキーワードが問われました。

一方、セキュリティの観点では、IRMがあります。ファイルを暗号化したり、アクセス権を管理するものです。
たとえば、攻撃者がファイルを抜き出したとしても、アクセス権が無いのでファイルの暗号化を解除できません。情報漏えい対策として有効な方法の一つです。
Microsoft社のRMS(Rights Management Services)もその一つです。
情報セキュリティスペシャリスト試験を目指す女性SE 

それ、いいですね。
標的型攻撃にあっても、情報漏えいの危険がありません。
ただ、取引先とこの仕組みでやり取りをする場合、取引先にもIRMのシステムを入れてアカウント管理をする必要があるなど、実行面での課題もあります。

1.ウイルスとは
ウイルスとは何でしょう。正確な定義を「コンピュータウイルス対策基準(http://www.meti.go.jp/policy/netsecurity/CvirusCMG.htm)」から引用します。
(1) コンピュータウイルス(以下「ウイルス」とする。)
  第三者のプログラムやデータべースに対して意図的に何らかの被害を及ぼすように作られたプログラムであり、 次の機能を一つ以上有するもの。

   (1)自己伝染機能
    自らの機能によって他のプログラムに自らをコピーし又はシステム機能を利用して自らを他のシステムにコピーすることにより、 他のシステムに伝染する機能
   (2)潜伏機能
    発病するための特定時刻、一定時間、処理回数等の条件を記憶させて、発病するまで症状を出さない機能
   (3)発病機能
    プログラム、データ等のファイルの破壊を行ったり、設計者の意図しない動作をする等の機能

ワームやトロイの木馬なども、広義にはウイルスである。
ウイルスの仕組みも多様化してきており、これらの線引きが難しくなってきた。

ちなみに、
○ ウイルス
× ウィルス (ィが小文字)

2.マルウェアとは
最近では、IPAでは、「マルウェア(悪意あるソフトウェア)」という言葉を使っている。マルウェアはMalicious(悪意のある)Softwareの省略形である。
マルウェアの説明として、IPAの資料には「コンピュータウイルス、スパイウェア、ボットなどの不正プログラムを総称してマルウェアと呼ぶ」とある。

dcf52feb

ウイルスとワームを区別する意味はそれほどないと思いますが、
どういう理由で分けているのでしょうか?
ワームは虫なので、虫一人でも生きていける。ところが病気のウイルスの場合、肺などの臓器など何か住むところがないと生きていけない。これが根本的な定義の違いだと考えている。
なので、ウイルス(狭義)は、Excel などのファイルに感染するもので、ワームはそれ自体がexeファイルなどの一つのファイルになっている。

厳密ではないが、表にしてみた。
ウイルスワームトロイの木馬
自己伝染機能×
潜伏機能
発病機能
★は、どれか一つ以上の機能を持つという意味。

ウイルスとワームの違い
トロイの木馬とボットの違い

「ネットワーク経由でコンピュータ間を自己複製しながら移動し増殖する」(H19春初級シスアド午前47)」ものは何か
ワームとは、虫という意味だ。今回の正解はワーム。ワームには非常に簡単なスクリプトも含まれる。

もう一問
問58 インターネットなどのネットワークを介して,自分自身の複製を電子メールに添付して勝手に送信したり,ネットワーク上のほかのコンピュータに自分自身をコピーしたりして,自己増殖するプログラムはどれか。
ア クッキー
イ スパイウェア
ウ トロイの木馬
エ ワーム (H21秋IP)
これも
正解はエのワーム。

「データの破壊、改ざんなどの不正な機能をプログラムの一部に組み込んだものを送ってインストールさせ、実行させるもの(H20秋FE午前問64参照)」は何か
d18680c9
これは難しいですね。
ウイルス、ワーム、スパイウエア、などでも正解のような気が・・・




確かにそう。正解はトロイの木馬。
トロイの木馬とは、ギリシャ神話に登場する。
トロイア戦争において、木馬の中に兵士が入る。外から見るとただの木馬であり、悪いものはない。ただ、しばらくの潜伏期間を経て、中にいた兵士が出てきて戦争に勝利する。

これと同じように、この場合のトロイの木馬も、一見するとただのファイルであり、悪いものとは気が付かない。それが、実は不正なプログラムだったというのが、特徴。
今回の問題も、プログラムを送ってインストールさせるということは、受け取った人にとっては、普通のプログラムにみえたと判断できる。
以下の記事も参照ください。
http://sc.seeeko.com/archives/3946340.html

ボットとは
(botnet)のボット(bot)の語源はロボット(Robbot)。ロボットは人間の司令に従順に従うように、ボットに感染したコンピュータ(ゾンビコンピュータ)の集まり(Robbot Network = botnet)は、司令を受けて一斉にDDoS攻撃などを行う。

過去問(H23春IP問76)では、ボットの説明として、「多数のコンピュータに感染し,遠隔操作で攻撃者から指令を受けるとDDOS攻撃などを一斉に行う不正プログラムに付けられた呼び名」と述べられています。

テレビでボットネットの特集をやってた。かなり重大な問題を引き起こすようだ。
ボットはロボットから来ている。ロボットは人間の司令に従順に従うように、ボットに感染したコンピュータの集まり(ボットネット)は、司令を受けて一斉にDDOS攻撃などを行う。
過去問では以下の記述がある。
ボットを放置しておくと、ほかのPCへの感染活動やDoS攻撃を行うボットネットに加担し続けることになり、他者に迷惑をかけてしまいます。(H20SV午前1問1)
大量の広告メールを送る際に利用されたりする。また、クリック報酬型のサイトにクリックをしかけることができる。ボットネットは時間単位で販売されているそうだ。
ボットそのものはウィルスと同じ。ウィルスではお金を儲けることは難しいが、ボットネットを作れば裏企業に販売することが可能になる。

対策
基本的には、OSのパッチやウイルスソフトのパターンファイルを最新化するベーシックな対策が必要である。
また、CCC(サイバークリーンセンター)のツールを実行することで、ボットに感染しているかの確認とボットの駆除が行える(現在は閉鎖)。
 最近では、メールやインターネット経由の感染以外にも、USBなどの外部メディアによる感染が増えている。USBメモリのウイルスチェックを行うとともに、不明な外部メディアを接続しないことや、外部メディアの自動実行を禁止する。
 ※ボットの対策に関しては、以下のサイトを随分と参考にしました。
http://www.ipa.go.jp/security/vuln/documents/DNS_security.pdf 

IRC(Internet Relay Chat)であるが、フルスペルを見て、なんとなくイメージがわくかもしれない。
インターネットでリレー式にチャット(会話)をする仕組みだ。
IRC通信自体は悪いものではないが、ボットでは、不正な通信を有効に機能させるためにIRCを利用して司令塔であるC&C(Command&Control)サーバと通信をする。
従来はTCPポート6667を使ったIRC通信が多かったが、最近ではhttp(80)を使い、FWをすり抜けて通信することが多い。
過去問を見てみよう。
Y主任:いいえ。ボットを放置しておくと,ほかのPCへの感染活動や[ d ]攻撃を行うボットネットに加担し続けることになり,他者に迷惑をかけてしまいます。社内LAN上のポットを早急に追跡しなければなりません。
X君 :それでは,ボットが外部から指令を受けるときの通信に注目して追跡することにします。ボットが利用する通信プロトコルは何でしょうか。
Y主任:多くの場合,  Internet Relay Chat(IRC)を使って通信が行われているようです。大抵のIRC通信は,TCPポート6667を使っています。
(中略)
Y主任:ボットには,指令を含む通信の発見を逃れるために,通信を暗号化するものや通信ポートを変えるものもあります。後者については、③社内LANからインターネットに向けた通信ポートの制限をFWに適用できれば、指令を含む通信を遮断できるのですが、適用できない場合があります。
X君 :ところで,当社のすべてのPCにはウイルス対策ソフトがインストールされています。指令を含む通信を発見できないのは,既に駆除されているからではないでしょうか。
Y主任:それはありません。当社のウイルス対策ソフトの稼働状態とウイルス検知状況はシステム管理部門によって管理されています。現時点で,すべてのウイルス対策ソフトは定期的にパターンファイルが更新された状態で稼働しているということが分かっていますが,ボットを検知したという報告はありません。
X君 :それではなぜ,ウイルス対策ソフトで発見できないのでしょうか。
Y主任:最近のボットには,自身の発見を逃れるために迷惑メールの送信頻度を抑える機能や,④パターンマッチング方式のウイルス対策ソフトによる検知を難しくする仕組みをもつものがあります。

設問1
(2)本文中の[ d ]に入れる適切な字句を答えよ。
設問3 ボットに感染したPCによる被害の抑止と追跡について,(1)~(3)に答えよ。
(1)本文中の下線③について,Y主任が,FWに適用できない場合があるとしている理由を,50字以内で述べよ。
(2)本文中の下線④について,ウイルス対策ソフトによる検知を難しくする仕組みを,  20字以内で述べよ。
(H20SV午前1問1)

設問1 d DDoS
設問3
(1) 一般業務で利用するHTTPプロトコルなどの通信ポートを使って指令を受け取ることもできるから
(2) 頻繁に自身のコードを更新する。

セキュリティ製品の脆弱性が発見されてから,修正パッチが出される間のわずかな時間(zero-day:0日)に攻撃をする。これがゼロデイ攻撃だ。
過去問ではゼロデイ攻撃を「開発元が製品の脆弱性に関するパッチを提供する前に,その脆弱性を悪用する攻撃(H20SU午後Ⅰ問2より引用)」としている。

セキュリティメーカには,セキュリティホールを見つけてもすぐには公開しない場合がある。セキュリティの不備を公にすることはゼロデイ攻撃を受けてしまうからだ。
929c854c
確かに。
セキュリティホールを公開することは,
「自分の家の鍵が壊れています。修理に1週間かかりますからそれまでは泥棒さん入らないでよ」というのと同じですもんね」


ゼロデイ攻撃の対策は難しい。IDPの中には「未知の攻撃を防ぐ」ことを売りにしている企業もあるが,どこまで対処できるかは疑問だ。 
基本的な対策だが,不要なポートを閉じることや不要なサービスを立ち上げないなどの対策が重要。
また,パッチやウイルスソフトのパターンファイルを最新にすることで,セキュリティホールを最小限に保つことも重要。玄関のカギが壊れていても,貴重品が金庫にしっかり管理されていれば被害は少ないのと同じである。

このページのトップヘ