情報処理安全確保支援士(情報セキュリティスペシャリスト)試験に合格するためのサイトです。
過去問を多数引用しながら、基礎知識をしっかり学んでもらうように作ってあります。
また、情報処理安全確保支援士(情報セキュリティスペシャリスト)を楽しく学べるように工夫したいと思います。
カテゴリ:

11.マルウェア

過去問(H25年IP問62)ではランサムウェアに関して、「感染すると勝手にファイルやデータの暗号化などを行って,正常にデータにアクセスできないようにし,元に戻すための代金を利用者に要求するソフトウェア」と述べています。

過去問(H26春SC午前2問7)では、ポリモーフィック型ウイルスの説明として,「感染するごとにウイルスのコードを異なる鍵で暗号化し,ウイルス自身を変化させて同一のパターンで検知されないようにする」と述べられている。

1.スパイウェア
過去問では、スパイウェアの一例として以下のように述べられている。
無償で提供される有用なソフトウェア一式に含まれていて,利用者に気付かれないように,利用者のインターネット利用状況などをスパイウェア開発元に送付する。 (H18秋SU午後1問4)
ウイルスと同様に、パソコンに潜んで悪さをするプログラムである。悪さという意味ではウイルスと同じだが、スパイウェアはスパイ活動つまりパソコンの中にある情報を盗み取ることが主目的である。

過去問(H27春IP)を解いてみましょう。
問66 スパイウェアが目的としている動作の説明として,最も適切なものはどれか。
ア OSやソフトウェアの動作を不安定にする。
イ ファイルシステム上から勝手にファイルを削除する。
ウ ブラウザをハイジャックして特定の動作を強制する。
エ 利用者に気付かれないように個人情報などを収集する。
正解はエです。

2.アドウェア(Adware)
アドはadvertisement(広告)を意味します。アドウェアに関して、IPAの資料(https://www.ipa.go.jp/security/antivirus/spyware5kajyou.html)に解説があります。
アドウェア(Adware)
 広告を強制的に表示する機能を持つソフトウェア。
 利用者の画面に広告を表示する代わりに、利用者が無料で利用できる。
なかには、利用者のコンピュータの環境や Web ブラウザのアクセス履歴などの情報を外部に通知するものがあり、これがスパイウェアのはじまりと言われている。

では、過去問(H24年秋IP)を解いてみましょう
問68 アドウェアに関する記述として,適切なものはどれか。
ア PCの画面上に広告を表示させる。
イ ネットワークで接続されたコンピュータ間を,自己複製しながら移動する。
ウ ネットワークを介して,他人のPCを自由に操ったり,パスワードなど重要な情報を盗んだりする。
エ ワープロソフトや表計算ソフトのデータファイルに感染する。
正解はアです。

 ウイルスソフトが正常に動作するかなどをチェックするためのテストウイルスがある。セキュリティのSEにとっては便利なツールだ。 eicarで検索すると出てくる。
現在は以下のサイトから取得できる。
http://www.eicar.org/86-0-Intended-use.html

ダウンロードから


圧縮やHTTPS暗号など、いろいろある。
 

dcf52feb
対策ってUpdate ウイルスソフトしかしてませんが
それでいいんですか?
完璧とはいえないが、最低限というか、基本はそれだね。Winny などで情報漏えいした人は、ほとんどがウイルスソフトを入れていなかったとのこと。
※参考 patch(パッチ)とは「あて布」のこと。破れた布にあて布をしてふさぐことから、こう呼ばれている。

まったくの参考情報で、情報セキュリティスペシャリスト試験には関係ない情報である。
Microsoftは、EMET(Enhanced Mitigation Experience Toolkit)というのを無償提供している。これにより、セキュリティの脆弱性が緩和されるということである。使っている人はあまり多くないだろうが、ご参考まで

ウイルス対策ソフトとしては、Symantec(個人向けはNorton)、McAfee、国産のTrend Microの3大メーカが有名だ。
それ以外には、Kasperskyや企業向け専用のSophos(英)がある。Kasperskyは創業者の名前である。スキーとつくことからピンと来た人もいるだろうが、そう、ロシア人。
無料版も数多くあり、Avast!やMSのWSE(Windows Security Essential)がある。
dcf52feb 

検知率はどうなんでしょうか?
各社に違いはあるのでしょうか?



各社とも、自分が一番という宣伝をする場合が多い。
第三者の評価もある。たくさんあるが、その一例は以下。評価者によって結果が違うので、何が正しいのか良く分からないであろう。
http://dennistechnologylabs.com/reports/s/a-m/2013/DTL_2013_Q4_Home.1.pdf

これを見る限りでは、KaspeskyやSymantec(Norton)が優秀であり、無料版のWindows Security Essentialはやはり無料版だなーという印象を持つ。
ただ、検知率が全てではなく、誤検知率、サポート体制、価格、地域特性(日本に強い)など、総合的に判断する必要があると思う。
 

アンチウイルスソフトの導入場所には大きく2つある。
dcf52feb 
一つはパソコンですよね。
もう一つは、UTMであったり、Proxyであったり、SPAM対策機器であったり、いろいろありますね。
そう。前者のパソコンに入れるものをエンドポイントとよばれ、ウイルス対策の基本である。後者は通信経路上にウイルス対策ソフト(装置)を導入する方式で、ゲートウェイ型と整理されるだろう。
ここで問題である。

エンドポイントのウイルス対策ソフトと、ゲートウェイのウイルス対策ソフトの製造元を別にしておくとよい理由は何か
理由は、「パターンファイル更新のベンダによるばらつきや、特定ベンダのパターンファイル更新不備に起因するセキュリティ上のリスクを低減できる(H20SU午後Ⅱ問1より引用・一部修正)」からである。


ウイルス対策の仕組み
メーカによって異なり、考え方も明確に定義されていないが、おおむね以下だと考えている。

パターンマッチング
 シグネチャによるパターンマッチングだ。しかし、これだとパターンが少しちがっただけでも検知できない。
詳しくは以下を参照ください。
http://sc.seeeko.com/archives/3844591.html

ヒューリスティック分析
 ファイルの中で、ウイルスの特徴的な動作をしそうな部分を抜きだし、その部分におかしな動きをするものがないかを確認する。
929c854c

いわゆる動的解析ですね




いや、抜き出した部分をシグネチャベースでチェックするので、静的と言われることが多い。(このあたりは価値観というか、メーカの見解にもよってわかれる)。そして、機能としてはパターンマッチングの機能の一部と考えられることもある。
詳しくは別途書く予定。


振る舞い検知(ビヘイビア法)
 動的な検知方法である。検体の動きを見るのだ。異常な通信量やリソースを食っていないかなどを判断する。動的ヒューリスティックと呼ばれることもある。
 ただ、誤検知が多いことも事実だ。よって、多くの人は、この機能をOFFにしているのではないかと思う。
コンピュータウイルス対策r
以下のIPAの資料も参考になる。
http://www.ipa.go.jp/security/fy15/reports/uvd/documents/uvd_report.pdf

静的解析と動的解析
上記「パターンマッチング」と「ヒューリスティック分析」が静的解析、「振る舞い検知(ビヘイビア法)」が動的解析になる。
上記のIPAの資料を参考に、検出のタイミングを整理すると
・検出のタイミングは「ウイルス実行前」で、静的解析である。
・検出のタイミングは「ウイルス実行中」で動的解析である。

ウイルスチェックのサイト
話は変わるが、ファイルにウイルスが無いかをチェックしてくれるサイトがある。たしか、Google社が買収し、今はGoogleのサービスだと思う。
https://www.virustotal.com/ja/
これにより、50以上のウイルス会社によるチェックが行われる。
具体的には、このサイトに検体をUPすると、それが各ウイルス対策メーカに送られ、その結果をvirustotalが受け取って結果を返しているようだ。Virustotalが自ら検査をしているわけではない様子。

一方、同じようなサービスの攻撃者用のサイトもある。
以下だ。目的は違って、攻撃者が作成したファイルが、ウイルスチェックにひっかからないかを確認するものだ。
http://www.virtest.com/
費用であるが、1日30ドルとかそれくらいだと思う。攻撃者にとっては安いものかもしれない。

「あらかじめ特徴的なコードをパターンとして登録したウイルス定義ファイルを用いて、ウイルス検査対象と比較し、同じパターンがあれば検出する(H21春SC午前2問8不正解選択肢)」方法を何というか。
最も基本的な検出方法であろう。違う過去問では、「既知ウイルスのシグネチャコードと比較して、ウイルスを検出する」(H23秋FE午前43)と述べられている。正解は、パターンマッチング法 である。

また、定義ファイルを都度更新することも重要です。

IPAの資料
http://www.ipa.go.jp/security/fy15/reports/uvd/documents/uvd_report.pdf
この資料が参考になるだろう。以下にその仕組みの解説を引用する
 
パターンマッチング法
 文献中の用語でいう「パターンデータ」「ウイルスパターン」「パターンファイル」「ウイルス定義ファイル」等を用いて、何らかの特徴的なコードをパターンとしてウイルス検査対象と比較することで検出する場合をこの手法に分類する。また、特徴的なコードの定義には、ファイル名、メール送受信者の名前やアドレス、送信経路情報、メールメッセージの表題、テキスト文章、バイナリ情報等も含めて考え、それらの登録情報(パターン)と検査対象の情報との比較による検出についても同手法によるものとする。

IPAの資料
http://www.ipa.go.jp/security/fy15/reports/uvd/documents/uvd_report.pdf
この資料が参考になるだろう。以下にその仕組みの解説を引用する。 
ヒューリスティック法
 ウイルスのとるであろう動作を事前に登録しておき、検査対象コードに含まれる一連の動作と比較して検出する場合をこの手法に分類する。「動作の特徴コード」を検出に用いているかどうかが分類の大きな尺度となる。

以下の記事にも書いたが、ヒューリスティック法は静的解析に分類される。
http://sc.seeeko.com/archives/4835235.html

上記の文献には「この検査も、検査対象プログラムを実行せず、ウイルスらしい行動を起こすかどうかをプログラムコードの静的な解析によって判断する」と述べらている。

このページのトップヘ