情報処理安全確保支援士 - SE娘の剣 -

左門至峰による情報処理安全確保支援士試験に合格するためのサイトです。 過去問を多数引用しながら、基礎知識をしっかり学んでもらうように作ってあります。

ウイルスとマルウェア

 

1.ウイルスとマルウェア

(1)ウイルスとは

ウイルスとは何でしょう。正確な定義を「コンピュータウイルス対策基準(http://www.meti.go.jp/policy/netsecurity/CvirusCMG.htm)」から引用します。

(1) コンピュータウイルス(以下「ウイルス」とする。)
  第三者のプログラムやデータべースに対して意図的に何らかの被害を及ぼすように作られたプログラムであり、 次の機能を一つ以上有するもの。

   (1)自己伝染機能
    自らの機能によって他のプログラムに自らをコピーし又はシステム機能を利用して自らを他のシステムにコピーすることにより、 他のシステムに伝染する機能
   (2)潜伏機能
    発病するための特定時刻、一定時間、処理回数等の条件を記憶させて、発病するまで症状を出さない機能
   (3)発病機能
    プログラム、データ等のファイルの破壊を行ったり、設計者の意図しない動作をする等の機能


ワームやトロイの木馬なども、広義にはウイルスである。
ウイルスの仕組みも多様化してきており、これらの線引きが難しくなってきた。

ちなみに、
○ ウイルス
× ウィルス (ィが小文字)

参考:亜種

亜種は元のマルウェアを改変したものと考えてください。目的に応じて変更する場合もあれば、ウイルス対策ソフトでのパターンマッチングをすり抜けさせる目的で亜種が作られることもあります。

(2)マルウェアとは

最近では、IPAでは、「マルウェア(悪意あるソフトウェア)」という言葉を使っている。マルウェアはMalicious(悪意のある)Softwareの省略形である。

マルウェアの説明として、IPAの資料には「コンピュータウイルス、スパイウェア、ボットなどの不正プログラムを総称してマルウェアと呼ぶ」とある。

2.マルウェアの種類

(1)ワーム

「ネットワーク経由でコンピュータ間を自己複製しながら移動し増殖する」(H19春初級シスアド午前47)」ものは何か

ワームとは、虫という意味だ。今回の正解はワーム。ワームには非常に簡単なスクリプトも含まれる。
もう一問

問58 インターネットなどのネットワークを介して,自分自身の複製を電子メールに添付して勝手に送信したり,ネットワーク上のほかのコンピュータに自分自身をコピーしたりして,自己増殖するプログラムはどれか。
ア クッキー
イ スパイウェア
ウ トロイの木馬
エ ワーム (H21秋IP)

これも
正解はエのワーム。

(2)トロイの木馬。

トロイの木馬とは、ギリシャ神話に登場する。
トロイア戦争において、木馬の中に兵士が入る。外から見るとただの木馬であり、悪いものはない。ただ、しばらくの潜伏期間を経て、中にいた兵士が出てきて戦争に勝利する。
これと同じように、この場合のトロイの木馬も、一見するとただのファイルであり、悪いものとは気が付かない。それが、実は不正なプログラムだったというのが、特徴。
今回の問題も、プログラムを送ってインストールさせるということは、受け取った人にとっては、普通のプログラムにみえたと判断できる。過去問では、「データの破壊、改ざんなどの不正な機能をプログラムの一部に組み込んだものを送ってインストールさせ、実行させるもの(H20秋FE午前問64参照)」とある。

dcf52feb
ウイルスとワームを区別する意味はそれほどないと思いますが、
どういう理由で分けているのでしょうか?
ワームは虫なので、虫一人でも生きていける。ところが病気のウイルスの場合、肺などの臓器など何か住むところがないと生きていけない。これが根本的な定義の違いだと考えている。
なので、ウイルス(狭義)は、Excel などのファイルに感染するもので、ワームはそれ自体がexeファイルなどの一つのファイルになっている。

厳密ではないが、表にしてみた。
  ウイルス ワーム トロイの木馬
自己伝染機能 ×
潜伏機能  
発病機能    

★は、どれか一つ以上の機能を持つという意味。

ウイルスとワームの違い
トロイの木馬とボットの違い

(3)ボット

❶ボットとは

(botnet)のボット(bot)の語源はロボット(Robbot)。ロボットは人間の司令に従順に従うように、ボットに感染したコンピュータ(ゾンビコンピュータ)の集まり(Robbot Network = botnet)は、司令を受けて一斉にDDoS攻撃などを行う。

過去問(H23春IP問76)では、ボットの説明として、「多数のコンピュータに感染し,遠隔操作で攻撃者から指令を受けるとDDOS攻撃などを一斉に行う不正プログラムに付けられた呼び名」と述べられています。
テレビでボットネットの特集をやってた。かなり重大な問題を引き起こすようだ。
ボットはロボットから来ている。ロボットは人間の司令に従順に従うように、ボットに感染したコンピュータの集まり(ボットネット)は、司令を受けて一斉にDDOS攻撃などを行う。
情報処理安全確保支援士試験の過去問では以下の記述がある。

ボットを放置しておくと、ほかのPCへの感染活動やDoS攻撃を行うボットネットに加担し続けることになり、他者に迷惑をかけてしまいます。(H20SV午前1問1)

大量の広告メールを送る際に利用されたりする。また、クリック報酬型のサイトにクリックをしかけることができる。ボットネットは時間単位で販売されているそうだ。
ボットそのものはウィルスと同じ。ウィルスではお金を儲けることは難しいが、ボットネットを作れば裏企業に販売することが可能になる。

❷対策

基本的には、OSのパッチやウイルスソフトのパターンファイルを最新化するベーシックな対策が必要である。
また、CCC(サイバークリーンセンター)のツールを実行することで、ボットに感染しているかの確認とボットの駆除が行える(現在は閉鎖)。
 最近では、メールやインターネット経由の感染以外にも、USBなどの外部メディアによる感染が増えている。USBメモリのウイルスチェックを行うとともに、不明な外部メディアを接続しないことや、外部メディアの自動実行を禁止する。
 ※ボットの対策に関しては、以下のサイトを随分と参考にしました。
http://www.ipa.go.jp/security/vuln/documents/DNS_security.pdf 

❸ボットネットとIRC(Internet Relay Chat)C

IRC(Internet Relay Chat)であるが、フルスペルを見て、なんとなくイメージがわくかもしれない。
インターネットでリレー式にチャット(会話)をする仕組みだ。
IRC通信自体は悪いものではないが、ボットでは、不正な通信を有効に機能させるためにIRCを利用して司令塔であるC&C(Command&Control)サーバと通信をする。
従来はTCPポート6667を使ったIRC通信が多かったが、最近ではhttp(80)を使い、FWをすり抜けて通信することが多い。
情報処理安全確保支援士試験の過去問を見てみよう。

Y主任:いいえ。ボットを放置しておくと,ほかのPCへの感染活動や[ d ]攻撃を行うボットネットに加担し続けることになり,他者に迷惑をかけてしまいます。社内LAN上のポットを早急に追跡しなければなりません。
X君 :それでは,ボットが外部から指令を受けるときの通信に注目して追跡することにします。ボットが利用する通信プロトコルは何でしょうか。
Y主任:多くの場合,  Internet Relay Chat(IRC)を使って通信が行われているようです。大抵のIRC通信は,TCPポート6667を使っています。
(中略)
Y主任:ボットには,指令を含む通信の発見を逃れるために,通信を暗号化するものや通信ポートを変えるものもあります。後者については、③社内LANからインターネットに向けた通信ポートの制限をFWに適用できれば、指令を含む通信を遮断できるのですが、適用できない場合があります。
X君 :ところで,当社のすべてのPCにはウイルス対策ソフトがインストールされています。指令を含む通信を発見できないのは,既に駆除されているからではないでしょうか。
Y主任:それはありません。当社のウイルス対策ソフトの稼働状態とウイルス検知状況はシステム管理部門によって管理されています。現時点で,すべてのウイルス対策ソフトは定期的にパターンファイルが更新された状態で稼働しているということが分かっていますが,ボットを検知したという報告はありません。
X君 :それではなぜ,ウイルス対策ソフトで発見できないのでしょうか。
Y主任:最近のボットには,自身の発見を逃れるために迷惑メールの送信頻度を抑える機能や,④パターンマッチング方式のウイルス対策ソフトによる検知を難しくする仕組みをもつものがあります。

設問1
(2)本文中の[ d ]に入れる適切な字句を答えよ。
設問3 ボットに感染したPCによる被害の抑止と追跡について,(1)~(3)に答えよ。
(1)本文中の下線③について,Y主任が,FWに適用できない場合があるとしている理由を,50字以内で述べよ。
(2)本文中の下線④について,ウイルス対策ソフトによる検知を難しくする仕組みを,  20字以内で述べよ。
(H20SV午前1問1)


設問1 d DDoS
設問3
(1) 一般業務で利用するHTTPプロトコルなどの通信ポートを使って指令を受け取ることもできるから
(2) 頻繁に自身のコードを更新する。

(4)ゼロデイ攻撃(zero-day attack)

セキュリティ製品の脆弱性が発見されてから,修正パッチが出される間のわずかな時間(zero-day:0日)に攻撃をする。これがゼロデイ攻撃だ。
過去問ではゼロデイ攻撃を「開発元が製品の脆弱性に関するパッチを提供する前に,その脆弱性を悪用する攻撃(H20SU午後Ⅰ問2より引用)」「セキュリティパッチが提供される前にパッチが対象とする脆弱性を攻撃する(H27秋AP問42)」としている。

セキュリティメーカには,セキュリティホールを見つけてもすぐには公開しない場合がある。セキュリティの不備を公にすることはゼロデイ攻撃を受けてしまうからだ。
929c854c
確かに。
セキュリティホールを公開することは,
「自分の家の鍵が壊れています。修理に1週間かかりますからそれまでは泥棒さん入らないでよ」というのと同じですもんね」

ゼロデイ攻撃の対策は難しい。IDPの中には「未知の攻撃を防ぐ」ことを売りにしている企業もあるが,どこまで対処できるかは疑問だ。 
基本的な対策だが,不要なポートを閉じることや不要なサービスを立ち上げないなどの対策が重要。
また,パッチやウイルスソフトのパターンファイルを最新にすることで,セキュリティホールを最小限に保つことも重要。玄関のカギが壊れていても,貴重品が金庫にしっかり管理されていれば被害は少ないのと同じである。

(5)ランサムウェア

過去問(H25年IP問62)ではランサムウェアに関して、「感染すると勝手にファイルやデータの暗号化などを行って,正常にデータにアクセスできないようにし,元に戻すための代金を利用者に要求するソフトウェア」と述べています。

(6)その他

❶ポリモーフィック型ウイルス

情報処理安全確保支援士試験の過去問(H26春SC午前2問7)では、ポリモーフィック型ウイルスの説明として,「感染するごとにウイルスのコードを異なる鍵で暗号化し,ウイルス自身を変化させて同一のパターンで検知されないようにする」と述べられている。

❷スパイウェア
過去問では、スパイウェアの一例として以下のように述べられている。

無償で提供される有用なソフトウェア一式に含まれていて,利用者に気付かれないように,利用者のインターネット利用状況などをスパイウェア開発元に送付する。 (H18秋SU午後1問4)

ウイルスと同様に、パソコンに潜んで悪さをするプログラムである。悪さという意味ではウイルスと同じだが、スパイウェアはスパイ活動つまりパソコンの中にある情報を盗み取ることが主目的である。
過去問(H27春IP)を解いてみましょう。

問66 スパイウェアが目的としている動作の説明として,最も適切なものはどれか。
ア OSやソフトウェアの動作を不安定にする。
イ ファイルシステム上から勝手にファイルを削除する。
ウ ブラウザをハイジャックして特定の動作を強制する。
エ 利用者に気付かれないように個人情報などを収集する。

正解はエです。

❸アドウェア(Adware)

アドはadvertisement(広告)を意味します。アドウェアに関して、IPAの資料(https://www.ipa.go.jp/security/antivirus/spyware5kajyou.html)に解説があります。

アドウェア(Adware)
 広告を強制的に表示する機能を持つソフトウェア。
 利用者の画面に広告を表示する代わりに、利用者が無料で利用できる。
なかには、利用者のコンピュータの環境や Web ブラウザのアクセス履歴などの情報を外部に通知するものがあり、これがスパイウェアのはじまりと言われている。

では、過去問(H24年秋IP)を解いてみましょう

問68 アドウェアに関する記述として,適切なものはどれか。
ア PCの画面上に広告を表示させる。
イ ネットワークで接続されたコンピュータ間を,自己複製しながら移動する。
ウ ネットワークを介して,他人のPCを自由に操ったり,パスワードなど重要な情報を盗んだりする。
エ ワープロソフトや表計算ソフトのデータファイルに感染する。

正解はアです。

3.マルウェア対策について

(1)Windows Updateとウイルス対策だけで、セキュリティ対策は十分か

dcf52feb
対策ってUpdate ウイルスソフトしかしてませんが
それでいいんですか?
完璧とはいえないが、最低限というか、基本はそれだね。Winny などで情報漏えいした人は、ほとんどがウイルスソフトを入れていなかったとのこと。
※参考 patch(パッチ)とは「あて布」のこと。破れた布にあて布をしてふさぐことから、こう呼ばれている。

まったくの参考情報で、情報セキュリティスペシャリスト試験には関係ない情報である。
Microsoftは、EMET(Enhanced Mitigation Experience Toolkit)というのを無償提供している。これにより、セキュリティの脆弱性が緩和されるということである。使っている人はあまり多くないだろうが、ご参考まで

(2)ゲートウェイとエンドポイントのアンチウイルス

アンチウイルスソフトの導入場所には大きく2つある。
dcf52feb 
一つはパソコンですよね。
もう一つは、UTMであったり、Proxyであったり、SPAM対策機器であったり、いろいろありますね。
そう。前者のパソコンに入れるものをエンドポイントとよばれ、ウイルス対策の基本である。後者は通信経路上にウイルス対策ソフト(装置)を導入する方式で、ゲートウェイ型と整理されるだろう。
ここで問題である。

エンドポイントのウイルス対策ソフトと、ゲートウェイのウイルス対策ソフトの製造元を別にしておくとよい理由は何か

理由は、「パターンファイル更新のベンダによるばらつきや、特定ベンダのパターンファイル更新不備に起因するセキュリティ上のリスクを低減できる(H20SU午後Ⅱ問1より引用・一部修正)」からである。

■UTMなどのゲートウェイのウイルスチェックがあれば端末へのウイルス対策は不要か?

UTMやゲートウェイでのウイルス対策はおまけと考えた方がいいです。
パケットを眺めているだけなので、エンドポイント製品(端末にインストールするタイプ)と違って、精度が格段に落ちます。
また、SSLで暗号化されたらチェックできません。

以下の資料をみてもらってもわかるように、企業においても、エンドポイントの導入率は9割近くで、ゲートウェイタイプは3割弱しかありません。みなさん、よくわかっているのですね。
http://itpro.nikkeibp.co.jp/article/COLUMN/20120425/393351/

(3)プロキシサーバによるマルウェアの通信の拒否

プロキシサーバに関しては、以下に整理しています。
http://nw.seeeko.com/archives/50540600.html

さて、情報処理安全確保支援士試験の過去問(H25秋SC午後Ⅱ問1)では、マルウェアが外部のC&Cサーバと不正な通信をしていることが述べられている。しかも、プロキシサーバのURLフィルタリングをすり抜けてしまっているのだ。
 そんなとき、対策は全くないのか。完璧な対策ではなく、あくまでも一例でしかないが、この問題文に対策が書かれてある。
 この問題文の[対策の検討]には、「マルウェアからC&CサーバへのHTTP通信をプロキシで止める対策が有効だと考えています」と述べられている。この具体的な内容が設問で問われていて、解答 例は「プロキシで利用者認証を有効にする」である。プロキシサーバにて認証設定をすれば、認証情報を知らないマルウェアから、外部への不正通信を防ぐことができる。

IPAの「高度標的型攻撃」対策に向けたシステム設計ガイド」(http://www.ipa.go.jp/files/000042039.pdf)にデータがあるので紹介する。
※トレンドマイクロ社のデータを活用しているようだ。

P44のデータを見ると、約52%が直接通信、27%がプロキシを利用、21%が認証プロキシを突破するとある。
21%も突破するという見方もあるが、認証プロキシを入れれば8割の不正なC&C通信がブロックできるので、対策としては価値があると考えられる。

以下、情報処理安全確保支援士試験の過去問を解いてみましょう。

②プロキシ認証に対応したマルウェアも多いとの調査報告を踏まえ,効果が完全ではないことを認識しながらも,プロキシ2のプロキシ認証機能を有効にした。

設問4 (1)本文中の下線②について,マルウェアは,どのようにして,認証を成功させるか。50字以内で具体的に述べよ。

試験センターの解答例は「Webブラウザからプロキシサーバへの通信を盗聴して認証情報を取得し、プロキシサーバに送信する」です。

(4)ハニーポット

ハニーポット(honey pot)とは、はちみつ(honey)が入った瓶(pot)という意味です。これを「おとり」として、攻撃者の行動を観察します。過去問(H18NW午前問51)ではハニーポットに関して,「セキュリティ上,脆弱性のあるホストやシステムをあえて公開し,受けた攻撃の内容を観察するためのもの」と述べられています。

(5)参考

❶ウイルスの被害を防ぐためのチェックツール

■virustotal
ファイルにウイルスが無いかをチェックしてくれるサイトがある。たしか、Google社が買収し、今はGoogleのサービスだと思う。
https://www.virustotal.com/ja/
これにより、50以上のウイルス会社によるチェックが行われる。
具体的には、このサイトに検体をUPすると、それが各ウイルス対策メーカに送られ、その結果をvirustotalが受け取って結果を返しているようだ。Virustotalが自ら検査をしているわけではない様子。

一方、同じようなサービスの攻撃者用のサイトもある。
以下だ。目的は違って、攻撃者が作成したファイルが、ウイルスチェックにひっかからないかを確認するものだ。
http://www.virtest.com/
費用であるが、1日30ドルとかそれくらいだと思う。攻撃者にとっては安いものかもしれない。


■アグス(aguse)
サイトの安全性のチェックをしてくれる日本のサイト。怪しいサイトをチェックするというか、ワンクッションおいてくれる。
http://www.aguse.jp/

 

❷Eicarによるテストウイルス

 ウイルスソフトが正常に動作するかなどをチェックするためのテストウイルスがある。セキュリティのSEにとっては便利なツールだ。 eicarで検索すると出てくる。
現在は以下のサイトから取得できる。
http://www.eicar.org/86-0-Intended-use.html

ダウンロードから


圧縮やHTTPS暗号など、いろいろある。
 

4.ウイルス検知手法

ウイルス対策の仕組みはメーカによって異なり、考え方も明確に定義されていないが、おおむね以下だと考えている。

(1)パターンマッチング

シグネチャによるパターンマッチング法だ。情報処理安全確保支援士試験の過去問では、「あらかじめ特徴的なコードをパターンとして登録したウイルス定義ファイルを用いて、ウイルス検査対象と比較し、同じパターンがあれば検出する(H21春SC午前2問8不正解選択肢)」「既知ウイルスのシグネチャコードと比較して、ウイルスを検出する(H23秋FE午前43)」と述べられている。しかし、これだとパターンが少しちがっただけでも検知できない。
また、定義ファイルを都度更新することも重要です。

■IPAの資料
http://www.ipa.go.jp/security/fy15/reports/uvd/documents/uvd_report.pdf
この資料が参考になるだろう。以下にその仕組みの解説を引用する

パターンマッチング法
 文献中の用語でいう「パターンデータ」「ウイルスパターン」「パターンファイル」「ウイルス定義ファイル」等を用いて、何らかの特徴的なコードをパターンとしてウイルス検査対象と比較することで検出する場合をこの手法に分類する。また、特徴的なコードの定義には、ファイル名、メール送受信者の名前やアドレス、送信経路情報、メールメッセージの表題、テキスト文章、バイナリ情報等も含めて考え、それらの登録情報(パターン)と検査対象の情報との比較による検出についても同手法によるものとする。

(2)ヒューリスティック分析

ファイルの中で、ウイルスの特徴的な動作をしそうな部分を抜きだし、その部分におかしな動きをするものがないかを確認する。
929c854c

いわゆる動的解析ですね



いや、抜き出した部分をシグネチャベースでチェックするので、静的と言われることが多い。(このあたりは価値観というか、メーカの見解にもよってわかれる)。そして、機能としてはパターンマッチングの機能の一部と考えられることもある。

 ■IPAの資料
http://www.ipa.go.jp/security/fy15/reports/uvd/documents/uvd_report.pdf
この資料が参考になるだろう。以下にその仕組みの解説を引用する。 

ヒューリスティック法
 ウイルスのとるであろう動作を事前に登録しておき、検査対象コードに含まれる一連の動作と比較して検出する場合をこの手法に分類する。「動作の特徴コード」を検出に用いているかどうかが分類の大きな尺度となる。

ヒューリスティック法は静的解析に分類される。
上記の文献には「この検査も、検査対象プログラムを実行せず、ウイルスらしい行動を起こすかどうかをプログラムコードの静的な解析によって判断する」と述べらている。

(3)振る舞い検知(ビヘイビア法)

 動的な検知方法である。検体の動きを見るのだ。異常な通信量やリソースを食っていないかなどを判断する。動的ヒューリスティックと呼ばれることもある。
 ただ、誤検知が多いことも事実だ。よって、多くの人は、この機能をOFFにしているのではないかと思う。

「ウイルスの感染や発病によって生じるデータ書き込み動作の異常や通信量の異常増加などの変化を監視して、感染を検出する」(H21SC秋午前Ⅱ問8)方法を何というか。

過去問では、この問題は、「ウイルスの検出方法であるビヘイビア法の説明」として出題されている。
ビヘイビア法は振る舞い検知と考えていい。上記の問題にあるように、パターンマッチングではなく、動きを見るのだ。上記以外には、異常なプロセスが立ち上がっていないかなども見ると思う。
※振る舞い検知を動的ヒューリスティックという場合もある。

■IPAの資料
http://www.ipa.go.jp/security/fy15/reports/uvd/documents/uvd_report.pdf
この資料が参考になるだろう。以下にその仕組みの解説を引用する

ビヘイビア法
 ウイルスの実際の感染・発病動作を監視して検出する場合をこの手法に分類する。感染・発病動作として「書込み動作」「複製動作」「破壊動作」等の動作そのものの異常を検知する場合だけでなく、感染・発病動作によって起こる環境の様々な変化を検知することによる場合もこの手法に分類する。例えば、「例外ポート通信・不完パケット・通信量の異常増加・エラー量の異常増加」「送信時データと受信時データの量的変化・質的変化」等がそれにあたる。


■H26秋NW午前Ⅱ
問20 ウイルス検知手法の一つであるビヘイビア法を説明したものはどれか。
ア ウイルスの特徴的なコード列が検査対象プログラム内に存在するかどうかを調べて,もし存在していればウイルスとして検知する。
イ 各ファイルに,チェックサム値などウイルスではないことを保証する情報を付加しておき,もし保証する情報が検査対象ファイルに付加されていないか無効ならば,ウイルスとして検知する。
ウ 検査対象ファイルのハッジュ値と,安全な場所に保管してあるその対象の原本のハッジュ値を比較して,もし異なっていればウイルスとして検知する。
エ 検査対象プログラムを動作させてその挙動を観察し,もしウイルスによく見られる行動を起こせばウイルスとして検知する。






ア:パターンマッチング法
イ:チェックサム法
ウ:コンペア法
エ:ビヘイビア法

正解:エ

コンピュータウイルス対策r
以下のIPAの資料も参考になる。
http://www.ipa.go.jp/security/fy15/reports/uvd/documents/uvd_report.pdf

(4)チェックサム方式 

※この言葉は覚えなくていいでしょう。

「ファイルのチェックサムと照合して、ウイルスを検出する」(H23秋FE午前43不正解選択肢)方法を何というか。

私はメジャーなウイルス対策ソフトを使ってますが、どの方式を採用しているのでしょうか?気になるところです。
さて、この問題の正解は「チェックサム方式」です。

(5)逆アセンブル

こちらも情報処理安全確保支援士試験の過去問ですが、覚えなくていいと思います。

H23SC春午前2
問10 ウイルスの調査手法に関する記述のうち、適切なものはどれか。

ア 逆アセンブルは、バイナリコードの新種ウイルスの動作を説明するのに有効な手法である。
イ パターンマッチングではウイルスを検知する方式は、暗号化された文書中のマクロウイルスの動作を解明するのに有効な手法である。
ウ ファイルのハッシュ値を基にウイルスを検知する方式は、ウイルスのハッシュ値からどのウイルスの亜種かを特定するのに確実な手法である。
エ 不正な動作からウイルスを検知する方式は、ウイルス名を特定するのに確実な手法である。




難しいですね。

正解はア

(4)参考:静的解析と動的解析

上記「パターンマッチング」と「ヒューリスティック分析」が静的解析、「振る舞い検知(ビヘイビア法)」が動的解析になる。
上記のIPAの資料を参考に、検出のタイミングを整理すると
・検出のタイミングは「ウイルス実行前」で、静的解析である。
・検出のタイミングは「ウイルス実行中」で動的解析である。

5.高度な検知方法

(1)サンドボックス

未知マルウェア対策の記事でも書きましたが、情報処理安全確保支援士試験の過去問(H28SC春午後Ⅱ問2)では、未知マルウェアの入口対策として、「Web閲覧やメールで入ってきたファイルをサンドボックスで実行し,振る舞いを調べることによってマルウェアを検知する対策」という記述があります。
サンドボックスとは、砂場という意味です。砂場という囲まれた中でマルウェアを動作させ、そこで、不審な振る舞いをしないのかをチェックします。製品としては、FireEye社のものや、TrendMicro社のDeepDiscovery、ForiGate社のFortiSandboxなどがあります。
情報セキュリティスペシャリスト試験を目指す女性SE  

じゃあ、振る舞い検知とはどう違うのですか?
たしかに、既存のウイルス対策製品であるSymantecやTrendMicroのエンドポイント製品にも、振る舞い検知機能はあります。
サンドボックスは、振る舞い検知などを行う点では同じですが、隔離されたサンドボックス環境を作るのがポイントです。ですから、基本的にはゲートウェイ製品にて実現されます。
ゲートウェイ製品には、WindowsXP、Windows7、Windows8、Linuxなどの異なるOSやブラウザを持つサンドボックスが複数用意され、マルウェアをその中で検査をします。

過去問では、サンドボックスの仕組みに関して、「プログラムの影響がシステム全体に及ばないように,プログラムが実行できる機能やアクセスできるリソースを制限して動作させる。(H29春SC午前Ⅱ問16)」「不正な動作の可能性があるプログラムを特別な領域で動作させることによって,他の領域に悪影響が及ぶのを防ぐ。(H28秋AP午前問44)」と述べられています。
サンドボックス

▼サンドボックスのイメージ図

(2)未知マルウェアの対策の過去問

未知マルウェアの対策というのは簡単ではありません。ここでは、対策の一例を情報処理安全確保支援士試験の過去問(H28SC春午後Ⅱ問2)を紹介します。

Cさん:未知マルウェア対策として,図7の案を考えました。未知のマルウェアを全て検知するのは無理です。そのため,未知のマルウェアヘの感染を前提とした対策も必要です。
【未知のマルウェアの検知を目的とした対策】
・入口対策:Web閲覧やメールで入ってきたファイルをサンドボックスで実行し,振る舞いを調べることによってマルウェアを検知する対策など
・出口対策:レピュテーションやアノマリ検知によって,C&C通信を発見する対策など
【未知のマルウェアヘの感染を前提とした対策】
・マルウェアに感染しても情報が漏えいしない対策(データの暗号化など)
・マルウェアに感染しても感染前の状態に戻せる対策(フートイメージからの復元など)
図7 未知マルウェア対策案(抜粋)

D部長:我が社のモバイルPCではハードディスクの暗号化を行っていますが,マルウェア感染時の情報漏えいを防げますか。
Cさん:残念ながら, ③マルウェア感染による情報漏えい対策としては役に立ちません。そうした情報漏えいを防ぐためにはDRMのような仕組みが必要になり,取引先にも影響があります。
D部長:なるほど。ブートイメージからの復元というのはどのようなものですか。
Cさん:ブートイメージとはOSの起動に必要なファイルや標準ソフトなどをひとまとめにしたものです。これを読取り専用領域に保存し,起動時に読み込ませることで,動作環境を復元します。実装方法として,モバイルPC上に読取り専用領域を作成する方法と,図8のように,仮想端末上でゲストOSを動かす,画面転送型の仮想デスクトップ環境(以下,VDIという)の二つがあります。

設問5(1)本文中の下線③について,役に立たない理由を40字以内で述べよ。
(2)モバイルPC上に読取り専用領域を作成する対策の場合、再起動時に一部のセキュリティ対策が初期化されるデメリットがある。その具体例を二つ,それぞれ25字以内で述べよ。

ここにあるように、マルウェアを検知するには、入口対策としてサンドボックス、出口対策としてURLフィルタリングなどによるC&Cサーバへの通信制御などがあります。
また、そもそも、マルウェアに感染する前提の対策も述べられています。つまり、マルウェアに感染しても情報漏えいが起きないようにするのです。

設問を解いてみましょう。

設問5(1) ハードディスクを暗号化すると、PCの紛失や盗難によって、不正な第三者に情報を見られることを防げます。しかし、OSを起動してログインしたユーザは、ファイルを見ることができます。これはマルウェアも同じです。試験センターの解答例は以下ですが、透過的というキーワードは書けなくてもいいでしょう。

【解答例】マルウェアからハードディスク内の情報が透過的に見えてしまうから

(2)解答例は
【解答例】
・AMのマルウェア定義ファイルが初期状態に戻る
※問題文の前半にて、AMがマルウェア対策ソフトであると定義されている
・セキュリティパッチが適用前の状態に戻る

(3)EDR

EDRとは、Endpoint(ネットワークの末端にあるのでPCと考えてください)でのDetection(検知)とResponse(対応)です。従来のウイルス対策ソフトに比べて検知機能を強化し、また、不正なPCのマルウェアを駆除するなどの対応まで行う仕組みです。

情報処理安全確保支援士試験の過去問(R1秋SC午後1問2)では、「EDR(Endpoint Detection and Response)」に関して「PC上のプロセスの起動・終了, ネットワーク通信,ファイル操作,実行ファイルのパスなどを記録し,検索できる。」とあります。 実際にどこまでできるかは非常に怪しいのですが、最近はやっているファイルレスのウイルスなどは、従来のウイルス対策ソフトでは検知できず、EDRが必要と言われています。

(4)ダークネット

ダークネットとは、インターネット上で到達可能かつ未使用のIPアドレス空間のことです。ダークネットに到着するパケットを受動的に観測することで、インターネット上で発生している不正な活動の傾向把握もできます。研究目的で、マルウェアの活動傾向などを把握するための観測用センサが配備されることもあります。
情報セキュリティスペシャリスト試験を目指す女性SE 

私が知っているダークネットって、違法な薬や銃などを販売する闇サイトと思っていました。
そうだね。ちょっと混在してしまっているね。
それらもダークネットと言う場合もあり、ダークウェブと言う場合もある。こちらは、通常ではアクセスできず、VPNやTorなどの技術も使い、専用のツールが無いとアクセスできないようだ。興味本位でも接続してしまうのは危険だと思います。
情報セキュリティスペシャリスト試験を目指す女性SE
ダークネットっていうどこかにそういう空間があるわけではないですよね?
その通り。国内外の未使用の30万IPアドレスを指す。
もちろん、日本にも未使用(=空いている)IPアドレスがあり、ルーティングされて、日本の入口までやってくる。端末は無いので、最終的には届かない。
そんな、日本に届くパケットを、主にNICT(+協力してくれる機関)が、パケットをミラーリングして観測する。もちろん、サーバが無いので、通信は成立しない。SYNだけしか届かないので、どんな攻撃かはわからない。そこで、NICTなどでは、偽造してACKなどを返すこともで、攻撃パケットも見ることができる。
攻撃元の送信元IPアドレスにアクセスしてみると、乗っ取られたWebカメラやルータなど、IoT機器が多いようだ。

IPAの文献には以下の記述がある。
http://www.ipa.go.jp/security/fy20/reports/tech1-tg/2_07.html 

ダークネットとは、インターネット上で到達可能かつ未使用のIPアドレス空間のことを指す。未使用のIPアドレスに対しパケットが送信されることは、通常のインターネット利用の範囲においては稀なはずであるが、実際にダークネットを観測してみると相当数のパケットが到着することが分かる。これらのパケットには
 ・ リモートエクスプロイト型マルウェアが次の感染対象を探査するためのスキャン
 ・ マルウェアが感染対象の脆弱性を攻撃するためのエクスプロイトコード
 ・ 送信元IPアドレスが詐称されたDDoS攻撃を被っているサーバからの応答であるバックススキャッタ
  などが含まれ、インターネット上での何らかの不正な活動に起因している。そのため、ダークネットに到着するパケットを受動的に観測することで、インターネット上で発生している不正な活動の傾向把握が可能になる。ダークネット観測の最大の利点は、パケットを正・不正で区別する処理を必要とせず、全てのパケットを不正なものと見なして分析することが出来る点にある。また、パケットの送信元に対して能動的に適切な応答をすると、さらに詳細な攻撃情報やマルウェアの検体を捕獲することも可能である。


情報処理安全確保支援士試験の過去問(H27春SC午前Ⅱ問11)をみてみよう

問11 マルウェアの活動傾向などを把握するための観測用センサが配備されるダークネットはどれか。
ア インターネット上で到達可能,かつ,未使用のIPアドレス空間
イ 組織に割り当てられているIPアドレスのうち,コンピュータで使用されているIPアドレス空間
ウ 通信事業者が他の通信事業者などに貸し出す光ファイバ設備
エ マルウェアに狙われた制御システムのネットワーク







正解は、アである。

■参考
NICT(ニクトではなく、エヌアイシーティー)が研究しているダークネットの分析システムがnicterニクター(Network Incident analysis Center for Tactical Emergency Response)です。
サイバー空間で発生する様々な情報セキュリティ上の脅威を迅速に観測・分析し、有効な対策を導出するための複合的なシステムです。
https://www.nict.go.jp/publication/NICT-News/1205/06.html
本物のサイトはこちら
https://www.nicter.jp/#