目次
問題文
ポリモーフィック型マルウェアの説明として,適切なものはどれか。
ア インターネットを介して,攻撃者から遠隔操作される。
イ 感染ごとに自身のコードを異なる鍵で暗号化するなどの手法によって,過去に発見されたマルウェアのパターンでは検知されないようにする。
ウ 複数のOS上で利用できるプログラム言語で作成され,複数のOS上で動作する。
エ ルートキットを利用して自身を隠蔽し,マルウェア感染が起きていないように見せかける。
解説
解答
イ
ア インターネットを介して遠隔操作される
これは ボット型マルウェア や リモートアクセス型トロイの木馬(RAT) の特徴です。
感染した端末は攻撃者のC&Cサーバ(Command and Control)からの命令を受けて遠隔操作され、DDoS攻撃や情報窃取に利用されます。
ネットワーク経由で直接制御される点が特徴で、ポリモーフィック型のような「検知回避」ではなく「遠隔操作」が本質です。
イ 感染ごとに自身のコードを異なる鍵で暗号化し、既存のパターンでは検知されないようにする
これが ポリモーフィック型マルウェア の説明です。
感染や複製のたびに暗号化方式や復号ルーチンを変化させることで、同じマルウェアでも毎回コードパターンが異なります。
そのため、アンチウイルスのシグネチャベース検知では対応が難しく、従来型の防御をすり抜けやすいのです。
さらに高度化したものには、暗号化と同時に命令の順序や不要命令を差し込むなどの「コード難読化」を組み合わせるタイプもあり、セキュリティ担当者にとって非常に厄介な存在です。
ウ 複数のOS上で動作するプログラム
これは クロスプラットフォーム型マルウェア の特徴です。
JavaやPythonなど、複数のOSで動作する言語やランタイムを利用して作られるため、WindowsやLinux、macOSといった異なる環境に感染可能です。
多様な環境を標的にできる点は脅威ですが、ポリモーフィック型のように検知回避を目的とした仕組みではありません。
エ ルートキットを利用して自身を隠蔽する
これは ルートキット型マルウェア の説明です。
OSのカーネルやシステムの深部に潜り込み、自身のプロセスやファイル、レジストリの情報などを隠すことで、利用者やセキュリティツールから検知されにくくします。
システムに深刻な影響を与えますが、やはりポリモーフィック型の特徴ではありません。
