情報処理安全確保支援士(情報セキュリティスペシャリスト)試験に合格するためのサイトです。
過去問を多数引用しながら、基礎知識をしっかり学んでもらうように作ってあります。
また、情報処理安全確保支援士(情報セキュリティスペシャリスト)を楽しく学べるように工夫したいと思います。
カテゴリ:

11.マルウェア

1.ウイルスとは
ウイルスとは何でしょう。正確な定義を「コンピュータウイルス対策基準(http://www.meti.go.jp/policy/netsecurity/CvirusCMG.htm)」から引用します。
(1) コンピュータウイルス(以下「ウイルス」とする。)
  第三者のプログラムやデータべースに対して意図的に何らかの被害を及ぼすように作られたプログラムであり、 次の機能を一つ以上有するもの。

   (1)自己伝染機能
    自らの機能によって他のプログラムに自らをコピーし又はシステム機能を利用して自らを他のシステムにコピーすることにより、 他のシステムに伝染する機能
   (2)潜伏機能
    発病するための特定時刻、一定時間、処理回数等の条件を記憶させて、発病するまで症状を出さない機能
   (3)発病機能
    プログラム、データ等のファイルの破壊を行ったり、設計者の意図しない動作をする等の機能

ワームやトロイの木馬なども、広義にはウイルスである。
ウイルスの仕組みも多様化してきており、これらの線引きが難しくなってきた。

ちなみに、
○ ウイルス
× ウィルス (ィが小文字)

2.マルウェアとは
最近では、IPAでは、「マルウェア(悪意あるソフトウェア)」という言葉を使っている。マルウェアはMalicious(悪意のある)Softwareの省略形である。
マルウェアの説明として、IPAの資料には「コンピュータウイルス、スパイウェア、ボットなどの不正プログラムを総称してマルウェアと呼ぶ」とある。

dcf52feb

ウイルスとワームを区別する意味はそれほどないと思いますが、
どういう理由で分けているのでしょうか?
ワームは虫なので、虫一人でも生きていける。ところが病気のウイルスの場合、肺などの臓器など何か住むところがないと生きていけない。これが根本的な定義の違いだと考えている。
なので、ウイルス(狭義)は、Excel などのファイルに感染するもので、ワームはそれ自体がexeファイルなどの一つのファイルになっている。

厳密ではないが、表にしてみた。
ウイルスワームトロイの木馬
自己伝染機能×
潜伏機能
発病機能
★は、どれか一つ以上の機能を持つという意味。

ウイルスとワームの違い
トロイの木馬とボットの違い

「ネットワーク経由でコンピュータ間を自己複製しながら移動し増殖する」(H19春初級シスアド午前47)」ものは何か
ワームとは、虫という意味だ。今回の正解はワーム。ワームには非常に簡単なスクリプトも含まれる。

もう一問
問58 インターネットなどのネットワークを介して,自分自身の複製を電子メールに添付して勝手に送信したり,ネットワーク上のほかのコンピュータに自分自身をコピーしたりして,自己増殖するプログラムはどれか。
ア クッキー
イ スパイウェア
ウ トロイの木馬
エ ワーム (H21秋IP)
これも
正解はエのワーム。

「データの破壊、改ざんなどの不正な機能をプログラムの一部に組み込んだものを送ってインストールさせ、実行させるもの(H20秋FE午前問64参照)」は何か
d18680c9
これは難しいですね。
ウイルス、ワーム、スパイウエア、などでも正解のような気が・・・




確かにそう。正解はトロイの木馬。
トロイの木馬とは、ギリシャ神話に登場する。
トロイア戦争において、木馬の中に兵士が入る。外から見るとただの木馬であり、悪いものはない。ただ、しばらくの潜伏期間を経て、中にいた兵士が出てきて戦争に勝利する。

これと同じように、この場合のトロイの木馬も、一見するとただのファイルであり、悪いものとは気が付かない。それが、実は不正なプログラムだったというのが、特徴。
今回の問題も、プログラムを送ってインストールさせるということは、受け取った人にとっては、普通のプログラムにみえたと判断できる。
以下の記事も参照ください。
http://sc.seeeko.com/archives/3946340.html

ボットとは
(botnet)のボット(bot)の語源はロボット(Robbot)。ロボットは人間の司令に従順に従うように、ボットに感染したコンピュータ(ゾンビコンピュータ)の集まり(Robbot Network = botnet)は、司令を受けて一斉にDDoS攻撃などを行う。

過去問(H23春IP問76)では、ボットの説明として、「多数のコンピュータに感染し,遠隔操作で攻撃者から指令を受けるとDDOS攻撃などを一斉に行う不正プログラムに付けられた呼び名」と述べられています。

テレビでボットネットの特集をやってた。かなり重大な問題を引き起こすようだ。
ボットはロボットから来ている。ロボットは人間の司令に従順に従うように、ボットに感染したコンピュータの集まり(ボットネット)は、司令を受けて一斉にDDOS攻撃などを行う。
過去問では以下の記述がある。
ボットを放置しておくと、ほかのPCへの感染活動やDoS攻撃を行うボットネットに加担し続けることになり、他者に迷惑をかけてしまいます。(H20SV午前1問1)
大量の広告メールを送る際に利用されたりする。また、クリック報酬型のサイトにクリックをしかけることができる。ボットネットは時間単位で販売されているそうだ。
ボットそのものはウィルスと同じ。ウィルスではお金を儲けることは難しいが、ボットネットを作れば裏企業に販売することが可能になる。

対策
基本的には、OSのパッチやウイルスソフトのパターンファイルを最新化するベーシックな対策が必要である。
また、CCC(サイバークリーンセンター)のツールを実行することで、ボットに感染しているかの確認とボットの駆除が行える(現在は閉鎖)。
 最近では、メールやインターネット経由の感染以外にも、USBなどの外部メディアによる感染が増えている。USBメモリのウイルスチェックを行うとともに、不明な外部メディアを接続しないことや、外部メディアの自動実行を禁止する。
 ※ボットの対策に関しては、以下のサイトを随分と参考にしました。
http://www.ipa.go.jp/security/vuln/documents/DNS_security.pdf 

IRC(Internet Relay Chat)であるが、フルスペルを見て、なんとなくイメージがわくかもしれない。
インターネットでリレー式にチャット(会話)をする仕組みだ。
IRC通信自体は悪いものではないが、ボットでは、不正な通信を有効に機能させるためにIRCを利用して司令塔であるC&C(Command&Control)サーバと通信をする。
従来はTCPポート6667を使ったIRC通信が多かったが、最近ではhttp(80)を使い、FWをすり抜けて通信することが多い。
過去問を見てみよう。
Y主任:いいえ。ボットを放置しておくと,ほかのPCへの感染活動や[ d ]攻撃を行うボットネットに加担し続けることになり,他者に迷惑をかけてしまいます。社内LAN上のポットを早急に追跡しなければなりません。
X君 :それでは,ボットが外部から指令を受けるときの通信に注目して追跡することにします。ボットが利用する通信プロトコルは何でしょうか。
Y主任:多くの場合,  Internet Relay Chat(IRC)を使って通信が行われているようです。大抵のIRC通信は,TCPポート6667を使っています。
(中略)
Y主任:ボットには,指令を含む通信の発見を逃れるために,通信を暗号化するものや通信ポートを変えるものもあります。後者については、③社内LANからインターネットに向けた通信ポートの制限をFWに適用できれば、指令を含む通信を遮断できるのですが、適用できない場合があります。
X君 :ところで,当社のすべてのPCにはウイルス対策ソフトがインストールされています。指令を含む通信を発見できないのは,既に駆除されているからではないでしょうか。
Y主任:それはありません。当社のウイルス対策ソフトの稼働状態とウイルス検知状況はシステム管理部門によって管理されています。現時点で,すべてのウイルス対策ソフトは定期的にパターンファイルが更新された状態で稼働しているということが分かっていますが,ボットを検知したという報告はありません。
X君 :それではなぜ,ウイルス対策ソフトで発見できないのでしょうか。
Y主任:最近のボットには,自身の発見を逃れるために迷惑メールの送信頻度を抑える機能や,④パターンマッチング方式のウイルス対策ソフトによる検知を難しくする仕組みをもつものがあります。

設問1
(2)本文中の[ d ]に入れる適切な字句を答えよ。
設問3 ボットに感染したPCによる被害の抑止と追跡について,(1)~(3)に答えよ。
(1)本文中の下線③について,Y主任が,FWに適用できない場合があるとしている理由を,50字以内で述べよ。
(2)本文中の下線④について,ウイルス対策ソフトによる検知を難しくする仕組みを,  20字以内で述べよ。
(H20SV午前1問1)

設問1 d DDoS
設問3
(1) 一般業務で利用するHTTPプロトコルなどの通信ポートを使って指令を受け取ることもできるから
(2) 頻繁に自身のコードを更新する。

セキュリティ製品の脆弱性が発見されてから,修正パッチが出される間のわずかな時間(zero-day:0日)に攻撃をする。これがゼロデイ攻撃だ。
過去問ではゼロデイ攻撃を「開発元が製品の脆弱性に関するパッチを提供する前に,その脆弱性を悪用する攻撃(H20SU午後Ⅰ問2より引用)」としている。

セキュリティメーカには,セキュリティホールを見つけてもすぐには公開しない場合がある。セキュリティの不備を公にすることはゼロデイ攻撃を受けてしまうからだ。
929c854c
確かに。
セキュリティホールを公開することは,
「自分の家の鍵が壊れています。修理に1週間かかりますからそれまでは泥棒さん入らないでよ」というのと同じですもんね」


ゼロデイ攻撃の対策は難しい。IDPの中には「未知の攻撃を防ぐ」ことを売りにしている企業もあるが,どこまで対処できるかは疑問だ。 
基本的な対策だが,不要なポートを閉じることや不要なサービスを立ち上げないなどの対策が重要。
また,パッチやウイルスソフトのパターンファイルを最新にすることで,セキュリティホールを最小限に保つことも重要。玄関のカギが壊れていても,貴重品が金庫にしっかり管理されていれば被害は少ないのと同じである。

過去問(H25年IP問62)ではランサムウェアに関して、「感染すると勝手にファイルやデータの暗号化などを行って,正常にデータにアクセスできないようにし,元に戻すための代金を利用者に要求するソフトウェア」と述べています。

過去問(H26春SC午前2問7)では、ポリモーフィック型ウイルスの説明として,「感染するごとにウイルスのコードを異なる鍵で暗号化し,ウイルス自身を変化させて同一のパターンで検知されないようにする」と述べられている。

1.スパイウェア
過去問では、スパイウェアの一例として以下のように述べられている。
無償で提供される有用なソフトウェア一式に含まれていて,利用者に気付かれないように,利用者のインターネット利用状況などをスパイウェア開発元に送付する。 (H18秋SU午後1問4)
ウイルスと同様に、パソコンに潜んで悪さをするプログラムである。悪さという意味ではウイルスと同じだが、スパイウェアはスパイ活動つまりパソコンの中にある情報を盗み取ることが主目的である。

過去問(H27春IP)を解いてみましょう。
問66 スパイウェアが目的としている動作の説明として,最も適切なものはどれか。
ア OSやソフトウェアの動作を不安定にする。
イ ファイルシステム上から勝手にファイルを削除する。
ウ ブラウザをハイジャックして特定の動作を強制する。
エ 利用者に気付かれないように個人情報などを収集する。
正解はエです。

2.アドウェア(Adware)
アドはadvertisement(広告)を意味します。アドウェアに関して、IPAの資料(https://www.ipa.go.jp/security/antivirus/spyware5kajyou.html)に解説があります。
アドウェア(Adware)
 広告を強制的に表示する機能を持つソフトウェア。
 利用者の画面に広告を表示する代わりに、利用者が無料で利用できる。
なかには、利用者のコンピュータの環境や Web ブラウザのアクセス履歴などの情報を外部に通知するものがあり、これがスパイウェアのはじまりと言われている。

では、過去問(H24年秋IP)を解いてみましょう
問68 アドウェアに関する記述として,適切なものはどれか。
ア PCの画面上に広告を表示させる。
イ ネットワークで接続されたコンピュータ間を,自己複製しながら移動する。
ウ ネットワークを介して,他人のPCを自由に操ったり,パスワードなど重要な情報を盗んだりする。
エ ワープロソフトや表計算ソフトのデータファイルに感染する。
正解はアです。

このページのトップヘ