情報処理安全確保支援士(情報セキュリティスペシャリスト)試験に合格するためのサイトです。
過去問を多数引用しながら、基礎知識をしっかり学んでもらうように作ってあります。
また、情報処理安全確保支援士(情報セキュリティスペシャリスト)を楽しく学べるように工夫したいと思います。
カテゴリ:

11.マルウェア > 11.2 マルウェア駆除

dcf52feb
対策ってUpdate ウイルスソフトしかしてませんが
それでいいんですか?
完璧とはいえないが、最低限というか、基本はそれだね。Winny などで情報漏えいした人は、ほとんどがウイルスソフトを入れていなかったとのこと。
※参考 patch(パッチ)とは「あて布」のこと。破れた布にあて布をしてふさぐことから、こう呼ばれている。

まったくの参考情報で、情報セキュリティスペシャリスト試験には関係ない情報である。
Microsoftは、EMET(Enhanced Mitigation Experience Toolkit)というのを無償提供している。これにより、セキュリティの脆弱性が緩和されるということである。使っている人はあまり多くないだろうが、ご参考まで

ウイルス対策ソフトとしては、Symantec(個人向けはNorton)、McAfee、国産のTrend Microの3大メーカが有名だ。
それ以外には、Kasperskyや企業向け専用のSophos(英)がある。Kasperskyは創業者の名前である。スキーとつくことからピンと来た人もいるだろうが、そう、ロシア人。
無料版も数多くあり、Avast!やMSのWSE(Windows Security Essential)がある。
dcf52feb 

検知率はどうなんでしょうか?
各社に違いはあるのでしょうか?



各社とも、自分が一番という宣伝をする場合が多い。
第三者の評価もある。たくさんあるが、その一例は以下。評価者によって結果が違うので、何が正しいのか良く分からないであろう。
http://dennistechnologylabs.com/reports/s/a-m/2013/DTL_2013_Q4_Home.1.pdf

これを見る限りでは、KaspeskyやSymantec(Norton)が優秀であり、無料版のWindows Security Essentialはやはり無料版だなーという印象を持つ。
ただ、検知率が全てではなく、誤検知率、サポート体制、価格、地域特性(日本に強い)など、総合的に判断する必要があると思う。
 

アンチウイルスソフトの導入場所には大きく2つある。
dcf52feb 
一つはパソコンですよね。
もう一つは、UTMであったり、Proxyであったり、SPAM対策機器であったり、いろいろありますね。
そう。前者のパソコンに入れるものをエンドポイントとよばれ、ウイルス対策の基本である。後者は通信経路上にウイルス対策ソフト(装置)を導入する方式で、ゲートウェイ型と整理されるだろう。
ここで問題である。

エンドポイントのウイルス対策ソフトと、ゲートウェイのウイルス対策ソフトの製造元を別にしておくとよい理由は何か
理由は、「パターンファイル更新のベンダによるばらつきや、特定ベンダのパターンファイル更新不備に起因するセキュリティ上のリスクを低減できる(H20SU午後Ⅱ問1より引用・一部修正)」からである。


ウイルス対策の仕組み
メーカによって異なり、考え方も明確に定義されていないが、おおむね以下だと考えている。

パターンマッチング
 シグネチャによるパターンマッチングだ。しかし、これだとパターンが少しちがっただけでも検知できない。

ヒューリスティック分析
 ファイルの中で、ウイルスの特徴的な動作をしそうな部分を抜きだし、その部分におかしな動きをするものがないかを確認する。
929c854c

いわゆる動的解析ですね




いや、抜き出した部分をシグネチャベースでチェックするので、静的と言われることが多い。(このあたりは価値観というか、メーカの見解にもよってわかれる)。そして、機能としてはパターンマッチングの機能の一部と考えられることもある。
詳しくは別途書く予定。


振る舞い検知(ビヘイビア法)
 動的な検知方法である。検体の動きを見るのだ。異常な通信量やリソースを食っていないかなどを判断する。動的ヒューリスティックと呼ばれることもある。
 ただ、誤検知が多いことも事実だ。よって、多くの人は、この機能をOFFにしているのではないかと思う。

以下のIPAの資料も参考になる。
http://www.ipa.go.jp/security/fy15/reports/uvd/documents/uvd_report.pdf

静的解析と動的解析
上記「パターンマッチング」と「ヒューリスティック分析」が静的解析、「振る舞い検知(ビヘイビア法)」が動的解析になる。
上記のIPAの資料を参考に、検出のタイミングを整理すると
・検出のタイミングは「ウイルス実行前」で、静的解析である。
・検出のタイミングは「ウイルス実行中」で動的解析である。

ウイルスチェックのサイト
話は変わるが、ファイルにウイルスが無いかをチェックしてくれるサイトがある。たしか、Google社が買収し、今はGoogleのサービスだと思う。
https://www.virustotal.com/ja/
これにより、50以上のウイルス会社によるチェックが行われる。
具体的には、このサイトに検体をUPすると、それが各ウイルス対策メーカに送られ、その結果をvirustotalが受け取って結果を返しているようだ。Virustotalが自ら検査をしているわけではない様子。

一方、同じようなサービスの攻撃者用のサイトもある。
以下だ。目的は違って、攻撃者が作成したファイルが、ウイルスチェックにひっかからないかを確認するものだ。
http://www.virtest.com/
費用であるが、1日30ドルとかそれくらいだと思う。攻撃者にとっては安いものかもしれない。

「あらかじめ特徴的なコードをパターンとして登録したウイルス定義ファイルを用いて、ウイルス検査対象と比較し、同じパターンがあれば検出する(H21春SC午前2問8不正解選択肢)」方法を何というか。
最も基本的な検出方法であろう。違う過去問では、「既知ウイルスのシグネチャコードと比較して、ウイルスを検出する」(H23秋FE午前43)と述べられている。正解は、パターンマッチング法 である。

IPAの資料
http://www.ipa.go.jp/security/fy15/reports/uvd/documents/uvd_report.pdf
この資料が参考になるだろう。以下にその仕組みの解説を引用する
 
パターンマッチング法
 文献中の用語でいう「パターンデータ」「ウイルスパターン」「パターンファイル」「ウイルス定義ファイル」等を用いて、何らかの特徴的なコードをパターンとしてウイルス検査対象と比較することで検出する場合をこの手法に分類する。また、特徴的なコードの定義には、ファイル名、メール送受信者の名前やアドレス、送信経路情報、メールメッセージの表題、テキスト文章、バイナリ情報等も含めて考え、それらの登録情報(パターン)と検査対象の情報との比較による検出についても同手法によるものとする。

IPAの資料
http://www.ipa.go.jp/security/fy15/reports/uvd/documents/uvd_report.pdf
この資料が参考になるだろう。以下にその仕組みの解説を引用する。 
ヒューリスティック法
 ウイルスのとるであろう動作を事前に登録しておき、検査対象コードに含まれる一連の動作と比較して検出する場合をこの手法に分類する。「動作の特徴コード」を検出に用いているかどうかが分類の大きな尺度となる。

以下の記事にも書いたが、ヒューリスティック法は静的解析に分類される。
http://sc.seeeko.com/archives/4835235.html

上記の文献には「この検査も、検査対象プログラムを実行せず、ウイルスらしい行動を起こすかどうかをプログラムコードの静的な解析によって判断する」と述べらている。

「ウイルスの感染や発病によって生じるデータ書き込み動作の異常や通信量の異常増加などの変化を監視して、感染を検出する」(H21SC秋午前Ⅱ問8)方法を何というか。
過去問では、この問題は、「ウイルスの検出方法であるビヘイビア法の説明」として出題されている。
ビヘイビア法は振る舞い検知と考えていい。上記の問題にあるように、パターンマッチングではなく、動きを見るのだ。上記以外には、異常なプロセスが立ち上がっていないかなども見ると思う。
※振る舞い検知を動的ヒューリスティックという場合もある。

IPAの資料
http://www.ipa.go.jp/security/fy15/reports/uvd/documents/uvd_report.pdf
この資料が参考になるだろう。以下にその仕組みの解説を引用する
ビヘイビア法
 ウイルスの実際の感染・発病動作を監視して検出する場合をこの手法に分類する。感染・発病動作として「書込み動作」「複製動作」「破壊動作」等の動作そのものの異常を検知する場合だけでなく、感染・発病動作によって起こる環境の様々な変化を検知することによる場合もこの手法に分類する。例えば、「例外ポート通信・不完パケット・通信量の異常増加・エラー量の異常増加」「送信時データと受信時データの量的変化・質的変化」等がそれにあたる。

「ファイルのチェックサムと照合して、ウイルスを検出する」(H23秋FE午前43不正解選択肢)方法を何というか。
私はメジャーなウイルス対策ソフトを使ってますが、どの方式を採用しているのでしょうか?気になるところです。
さて、この問題の正解は「チェックサム方式」です。

H23SC春午前2
問10 ウイルスの調査手法に関する記述のうち、適切なものはどれか。

ア 逆アセンブルは、バイナリコードの新種ウイルスの動作を説明するのに有効な手法である。
イ パターンマッチングではウイルスを検知する方式は、暗号化された文書中のマクロウイルスの動作を解明するのに有効な手法である。
ウ ファイルのハッシュ値を基にウイルスを検知する方式は、ウイルスのハッシュ値からどのウイルスの亜種かを特定するのに確実な手法である。
エ 不正な動作からウイルスを検知する方式は、ウイルス名を特定するのに確実な手法である。
なかなか難しいですね。
正解はマウスで以下をドラッグしてください。
ちなみに、ドラッグは薬もドラッグといいますね。


UTMやゲートウェイでのウイルス対策はおまけと考えた方がいいです。
パケットを眺めているだけなので、エンドポイント製品(端末にインストールするタイプ)と違って、精度が格段に落ちます。
また、SSLで暗号化されたらチェックできません。

以下の資料をみてもらってもわかるように、企業においても、エンドポイントの導入率は9割近くで、ゲートウェイタイプは3割弱しかありません。みなさん、よくわかっているのですね。
http://itpro.nikkeibp.co.jp/article/COLUMN/20120425/393351/


このページのトップヘ