情報処理安全確保支援士(情報セキュリティスペシャリスト) - SE娘の剣 -

情報処理安全確保支援士(情報セキュリティスペシャリスト)試験に合格するためのサイトです。
過去問を多数引用しながら、基礎知識をしっかり学んでもらうように作ってあります。
また、情報処理安全確保支援士(情報セキュリティスペシャリスト)を楽しく学べるように工夫したいと思います。

11.マルウェア

過去問(H25年IP問62)ではランサムウェアに関して、「感染すると勝手にファイルやデータの暗号化などを行って,正常にデータにアクセスできないようにし,元に戻すための代金を利用者に要求するソフトウェア」と述べています。

過去問(H26春SC午前2問7)では、ポリモーフィック型ウイルスの説明として,「感染するごとにウイルスのコードを異なる鍵で暗号化し,ウイルス自身を変化させて同一のパターンで検知されないようにする」と述べられている。

1.スパイウェア
過去問では、スパイウェアの一例として以下のように述べられている。
無償で提供される有用なソフトウェア一式に含まれていて,利用者に気付かれないように,利用者のインターネット利用状況などをスパイウェア開発元に送付する。 (H18秋SU午後1問4)
ウイルスと同様に、パソコンに潜んで悪さをするプログラムである。悪さという意味ではウイルスと同じだが、スパイウェアはスパイ活動つまりパソコンの中にある情報を盗み取ることが主目的である。

過去問(H27春IP)を解いてみましょう。
問66 スパイウェアが目的としている動作の説明として,最も適切なものはどれか。
ア OSやソフトウェアの動作を不安定にする。
イ ファイルシステム上から勝手にファイルを削除する。
ウ ブラウザをハイジャックして特定の動作を強制する。
エ 利用者に気付かれないように個人情報などを収集する。
正解はエです。

2.アドウェア(Adware)
アドはadvertisement(広告)を意味します。アドウェアに関して、IPAの資料(https://www.ipa.go.jp/security/antivirus/spyware5kajyou.html)に解説があります。
アドウェア(Adware)
 広告を強制的に表示する機能を持つソフトウェア。
 利用者の画面に広告を表示する代わりに、利用者が無料で利用できる。
なかには、利用者のコンピュータの環境や Web ブラウザのアクセス履歴などの情報を外部に通知するものがあり、これがスパイウェアのはじまりと言われている。

では、過去問(H24年秋IP)を解いてみましょう
問68 アドウェアに関する記述として,適切なものはどれか。
ア PCの画面上に広告を表示させる。
イ ネットワークで接続されたコンピュータ間を,自己複製しながら移動する。
ウ ネットワークを介して,他人のPCを自由に操ったり,パスワードなど重要な情報を盗んだりする。
エ ワープロソフトや表計算ソフトのデータファイルに感染する。
正解はアです。

 ウイルスソフトが正常に動作するかなどをチェックするためのテストウイルスがある。セキュリティのSEにとっては便利なツールだ。 eicarで検索すると出てくる。
現在は以下のサイトから取得できる。
http://www.eicar.org/86-0-Intended-use.html

ダウンロードから


圧縮やHTTPS暗号など、いろいろある。
 

dcf52feb
対策ってUpdate ウイルスソフトしかしてませんが
それでいいんですか?
完璧とはいえないが、最低限というか、基本はそれだね。Winny などで情報漏えいした人は、ほとんどがウイルスソフトを入れていなかったとのこと。
※参考 patch(パッチ)とは「あて布」のこと。破れた布にあて布をしてふさぐことから、こう呼ばれている。

まったくの参考情報で、情報セキュリティスペシャリスト試験には関係ない情報である。
Microsoftは、EMET(Enhanced Mitigation Experience Toolkit)というのを無償提供している。これにより、セキュリティの脆弱性が緩和されるということである。使っている人はあまり多くないだろうが、ご参考まで

アンチウイルスソフトの導入場所には大きく2つある。
dcf52feb 
一つはパソコンですよね。
もう一つは、UTMであったり、Proxyであったり、SPAM対策機器であったり、いろいろありますね。
そう。前者のパソコンに入れるものをエンドポイントとよばれ、ウイルス対策の基本である。後者は通信経路上にウイルス対策ソフト(装置)を導入する方式で、ゲートウェイ型と整理されるだろう。
ここで問題である。

エンドポイントのウイルス対策ソフトと、ゲートウェイのウイルス対策ソフトの製造元を別にしておくとよい理由は何か
理由は、「パターンファイル更新のベンダによるばらつきや、特定ベンダのパターンファイル更新不備に起因するセキュリティ上のリスクを低減できる(H20SU午後Ⅱ問1より引用・一部修正)」からである。

ウイルス対策の仕組み
メーカによって異なり、考え方も明確に定義されていないが、おおむね以下だと考えている。

パターンマッチング
 シグネチャによるパターンマッチングだ。しかし、これだとパターンが少しちがっただけでも検知できない。
詳しくは以下を参照ください。
http://sc.seeeko.com/archives/3844591.html

ヒューリスティック分析
 ファイルの中で、ウイルスの特徴的な動作をしそうな部分を抜きだし、その部分におかしな動きをするものがないかを確認する。
929c854c

いわゆる動的解析ですね




いや、抜き出した部分をシグネチャベースでチェックするので、静的と言われることが多い。(このあたりは価値観というか、メーカの見解にもよってわかれる)。そして、機能としてはパターンマッチングの機能の一部と考えられることもある。
詳しくは別途書く予定。


振る舞い検知(ビヘイビア法)
 動的な検知方法である。検体の動きを見るのだ。異常な通信量やリソースを食っていないかなどを判断する。動的ヒューリスティックと呼ばれることもある。
 ただ、誤検知が多いことも事実だ。よって、多くの人は、この機能をOFFにしているのではないかと思う。
コンピュータウイルス対策r
以下のIPAの資料も参考になる。
http://www.ipa.go.jp/security/fy15/reports/uvd/documents/uvd_report.pdf

静的解析と動的解析
上記「パターンマッチング」と「ヒューリスティック分析」が静的解析、「振る舞い検知(ビヘイビア法)」が動的解析になる。
上記のIPAの資料を参考に、検出のタイミングを整理すると
・検出のタイミングは「ウイルス実行前」で、静的解析である。
・検出のタイミングは「ウイルス実行中」で動的解析である。

ウイルスチェックのサイト
話は変わるが、ファイルにウイルスが無いかをチェックしてくれるサイトがある。たしか、Google社が買収し、今はGoogleのサービスだと思う。
https://www.virustotal.com/ja/
これにより、50以上のウイルス会社によるチェックが行われる。
具体的には、このサイトに検体をUPすると、それが各ウイルス対策メーカに送られ、その結果をvirustotalが受け取って結果を返しているようだ。Virustotalが自ら検査をしているわけではない様子。

一方、同じようなサービスの攻撃者用のサイトもある。
以下だ。目的は違って、攻撃者が作成したファイルが、ウイルスチェックにひっかからないかを確認するものだ。
http://www.virtest.com/
費用であるが、1日30ドルとかそれくらいだと思う。攻撃者にとっては安いものかもしれない。

「あらかじめ特徴的なコードをパターンとして登録したウイルス定義ファイルを用いて、ウイルス検査対象と比較し、同じパターンがあれば検出する(H21春SC午前2問8不正解選択肢)」方法を何というか。
最も基本的な検出方法であろう。違う過去問では、「既知ウイルスのシグネチャコードと比較して、ウイルスを検出する」(H23秋FE午前43)と述べられている。正解は、パターンマッチング法 である。

また、定義ファイルを都度更新することも重要です。

IPAの資料
http://www.ipa.go.jp/security/fy15/reports/uvd/documents/uvd_report.pdf
この資料が参考になるだろう。以下にその仕組みの解説を引用する
 
パターンマッチング法
 文献中の用語でいう「パターンデータ」「ウイルスパターン」「パターンファイル」「ウイルス定義ファイル」等を用いて、何らかの特徴的なコードをパターンとしてウイルス検査対象と比較することで検出する場合をこの手法に分類する。また、特徴的なコードの定義には、ファイル名、メール送受信者の名前やアドレス、送信経路情報、メールメッセージの表題、テキスト文章、バイナリ情報等も含めて考え、それらの登録情報(パターン)と検査対象の情報との比較による検出についても同手法によるものとする。

IPAの資料
http://www.ipa.go.jp/security/fy15/reports/uvd/documents/uvd_report.pdf
この資料が参考になるだろう。以下にその仕組みの解説を引用する。 
ヒューリスティック法
 ウイルスのとるであろう動作を事前に登録しておき、検査対象コードに含まれる一連の動作と比較して検出する場合をこの手法に分類する。「動作の特徴コード」を検出に用いているかどうかが分類の大きな尺度となる。

以下の記事にも書いたが、ヒューリスティック法は静的解析に分類される。
http://sc.seeeko.com/archives/4835235.html

上記の文献には「この検査も、検査対象プログラムを実行せず、ウイルスらしい行動を起こすかどうかをプログラムコードの静的な解析によって判断する」と述べらている。

「ウイルスの感染や発病によって生じるデータ書き込み動作の異常や通信量の異常増加などの変化を監視して、感染を検出する」(H21SC秋午前Ⅱ問8)方法を何というか。
過去問では、この問題は、「ウイルスの検出方法であるビヘイビア法の説明」として出題されている。
ビヘイビア法は振る舞い検知と考えていい。上記の問題にあるように、パターンマッチングではなく、動きを見るのだ。上記以外には、異常なプロセスが立ち上がっていないかなども見ると思う。
※振る舞い検知を動的ヒューリスティックという場合もある。

IPAの資料
http://www.ipa.go.jp/security/fy15/reports/uvd/documents/uvd_report.pdf
この資料が参考になるだろう。以下にその仕組みの解説を引用する
ビヘイビア法
 ウイルスの実際の感染・発病動作を監視して検出する場合をこの手法に分類する。感染・発病動作として「書込み動作」「複製動作」「破壊動作」等の動作そのものの異常を検知する場合だけでなく、感染・発病動作によって起こる環境の様々な変化を検知することによる場合もこの手法に分類する。例えば、「例外ポート通信・不完パケット・通信量の異常増加・エラー量の異常増加」「送信時データと受信時データの量的変化・質的変化」等がそれにあたる。

■H26秋NW午前Ⅱ
問20 ウイルス検知手法の一つであるビヘイビア法を説明したものはどれか。
ア ウイルスの特徴的なコード列が検査対象プログラム内に存在するかどうかを調べて,もし存在していればウイルスとして検知する。
イ 各ファイルに,チェックサム値などウイルスではないことを保証する情報を付加しておき,もし保証する情報が検査対象ファイルに付加されていないか無効ならば,ウイルスとして検知する。
ウ 検査対象ファイルのハッジュ値と,安全な場所に保管してあるその対象の原本のハッジュ値を比較して,もし異なっていればウイルスとして検知する。
エ 検査対象プログラムを動作させてその挙動を観察し,もしウイルスによく見られる行動を起こせばウイルスとして検知する。

ア:パターンマッチング法
イ:チェックサム法
ウ:コンペア法
エ:ビヘイビア法
正解:エ

スポンサードリンク

↑このページのトップヘ