マルウェアの検出手法(コンペア法・ビヘイビア法)【情報処理安全確保支援士講座】

情報処理安全確保支援士 マルウェアの検出手法

今回は、情報処理安全確保支援士の試験で問われるマルウェアの検出手法について解説します。

アカリ
アカリ
マルウェアって侵入したり感染したりしたらどうやって対応するの?
トモル
トモル
ウイルス対策ソフトだけだと足りなさそうだよね

この記事のまとめ

  1. マルウェアの検出手法
  2. EDRの概要
  3. ダークネットの概要

マルウェアの検出手法

情報処理安全確保支援士 マルウェアの検出手法

コンピュータウイルスやマルウェアを検出する手法として、さまざまな方法があります。具体的な手法をまとめたので、まずは覚えておきましょう。

検出手法 概要
コンペア法 マルウェアの感染が疑わしい対象と、安全な環境に保管されている対象の原本を比較し、異なっていれば感染を検出する方法
パターンマッチング法 マルウェア定義ファイル(パターンファイル)を用いて、マルウェアの特徴的なコードをパターンとして合致するかどうかで抽出する方法
チェックサム法 検出対象に対して別途マルウェアではないことを保証する情報を付加し、保証がないか無効であることで抽出する方法
ヒューリスティック法 マルウェアの取りうる動作を事前に登録し、検査対象コードに含まれる一連の動作と比較して検出する方法
ビヘイビア法 「書き込み」「複製」「破壊」などの動作を筆頭に、感染によって起こりうる環境の変化なども含めて検知する方法

代表的な検出方法はパターンマッチングですが、この手法だとパターンファイルに登録されていないマルウェアは検出できません。

アカリ
アカリ
だからパターンファイルは最新にしておく必要があるんだね!

既知のウイルスから派生した亜種や、未知のものはヒューリスティック法ビヘイビア法が有効です。

Advice
不審なファイルは隔離後、仮想環境上で実行しその振る舞いからマルウェアを検出する製品もあります。

EDR

情報処理安全確保支援士 EDR

EDR(Endpoint Detecrtion & Response)は、PCやサーバなどエンドポイント環境で発生している事象を分析し、マルウェアの侵入やふるまいを検知、対処する製品技術です。

各エンドポイント環境でEDRのエージェントソフトウェアを常駐動作させます。製品によっては収集した情報を統合ログ管理システムなどのサーバに集約するケースもあります。

エンドポイント環境で記録される事象の一例は下記の通りです。

記録される事象
  • プロセス生成
  • ファイル操作
  • レジストリ更新
  • ネットワーク接続

EDR製品は驚異の発生を検知するだけでなく、管理サーバを通じて対象端末を隔離・遮断する防御策も実施できます。

📝【出題履歴】令和4年度秋期 午後Ⅱ問2 EDRの検知に関する出題

【問題文】

例えば,マルウェアαは,PCで起きたイベントから製品C(EDR)を使って検知できる。

マルウェアαの特徴的なイベントは,同じサイズのファイルに対する①ファイル操作のイベント及び②ネットワーク動作のイベント,並びにログイン時の自動起動に関するOS設定の変更のイベントである。

【設問】

設問1 本文中の下線①,②について,検知するための単純ルールを,それぞれ30字以内で具体的に答えよ。

出題:令和4年度秋期 午後Ⅱ問2

ダークネット

情報処理安全確保支援士 ダークネット

ダークネットは、インターネット上で到達可能でありつつ、特定のホストに割り当てられていないIPアドレス空間を指します。

通常、ダークネットに対してパケットが流れることはまずありません。しかしマルウェアにより下記のようなパケットが流れるケースがあり、それを観測しマルウェアの活動傾向を把握することが可能です。

マルウェアによるパケット
  • 感染対象を探査するパケット
  • 感染対象の脆弱性を攻撃するパケット
  • IPアドレスを詐称するパケット
  • ネットワーク接続
キュー
キュー
ダークネット上にセンサを設置して観測することで、被害状況やマルウェアの攻撃を把握できるで
スポンサーリンク

マルウェアの検出手法・例題

実際に例題を解いて問題に慣れていきましょう。

問1

マルウェアの検出手法であるビヘイビア法を説明したものはどれか。(R.3春/問13)

ア:あらかじめ特徴的なコードをパターンとして登録したマルウェア定義ファイルを用いてマルウェア検査対象と比較し,同じパターンがあればマルウェアとして検出する。
イ:マルウェアに感染していないことを保証する情報をあらかじめ検査対象に付加しておき,検査時に不整合があればマルウェアとして検出する。
ウ:マルウェアの感染が疑わしい検査対象のハッシュ値と,安全な場所に保管されている原本のハッシュ値を比較し,マルウェアとして検出する。
エ:マルウェアの感染や発病によって生じるデータ読込みの動作,書込み動作,通信などを監視して,マルウェアとして検出する。

(ログイン後回答すると、ここに前回の正誤情報が表示されます)

問1の正解を表示

問1の解説を表示

ア:あらかじめ特徴的なコードをパターンとして登録したマルウェア定義ファイルを用いてマルウェア検査対象と比較し,同じパターンがあればマルウェアとして検出する。
→パターンマッチング法の説明です。したがって誤りです。

イ:マルウェアに感染していないことを保証する情報をあらかじめ検査対象に付加しておき,検査時に不整合があればマルウェアとして検出する。
→チェックサム法の説明です。したがって誤りです。

ウ:マルウェアの感染が疑わしい検査対象のハッシュ値と,安全な場所に保管されている原本のハッシュ値を比較し,マルウェアとして検出する。
→コンペア法の説明です。したがって誤りです

エ:マルウェアの感染や発病によって生じるデータ読込みの動作,書込み動作,通信などを監視して,マルウェアとして検出する。
→ビヘイビア法の説明です。したがって正解です

これより、「エ」が正解です。

問2

マルウェアの活動傾向などを把握するための観測用センサーが配備されるダークネットはどれか。(H.27春/問11)

ア:インターネット上で到達可能,かつ,未使用のIPアドレス空間
イ:組織に割り当てられているIPアドレスのうち,コンピュータで使用されているIPアドレス空間
ウ:通信事業者が他の通信事業者などに貸し出す光ファイバ設備
エ:マルウェアに狙われた制御システムのネットワーク

(ログイン後回答すると、ここに前回の正誤情報が表示されます)

問2の正解を表示

問2の解説を表示

ダークネットは、インターネット上で到達可能でありながら、未使用のIPアドレス空間のことです。

ア:インターネット上で到達可能,かつ,未使用のIPアドレス空間
→ダークネットの説明です。したがって正解です。

イ:組織に割り当てられているIPアドレスのうち,コンピュータで使用されているIPアドレス空間
→ライブネットの説明です。ダークネットとは逆の意味で用いられます。

ウ:通信事業者が他の通信事業者などに貸し出す光ファイバ設備
→ダークファイバーの説明です。したがって誤りです。

エ:マルウェアに狙われた制御システムのネットワーク
→産業制御システム(ICS)や遠隔制御・監視システム(SCADA)の説明です。したがって誤りです。

これより「ア」が正解です。

マルウェアの検出手法・まとめ

この記事のまとめ

  1. マルウェアの検出手法
  2. EDRの概要
  3. ダークネットの概要

今回はマルウェアの検知方法について学習しました。具体的な手法や製品については試験でよく問われるので確認しておきましょう。

次回はトロイの木馬について学習します。

しかくのいろは
トロイの木馬【情報処理安全確保支援士講座】
https://www.sikaku-no-iroha.co.jp/it-qualification/sc/trojan-horse-sc
情報処理安全確保支援士試験で問われるトロイの木馬について解説しています。具体的な被害内容や対策について学習しましょう。

本気で支援士を狙うなら・・・
支援士ゼミがおすすめです!
  • ベテラン講師による手厚いサポート
  • モチベーションを保てるセキュリティコラムが満載!
  • マンツーマン形式で個別相談もできる!

スポンサーリンク







独学講義,情報処理安全確保支援士

Posted by 佐野 孝矩