情報セキュリティ

基本情報技術者試験マルウェア」の問題

情報セキュリティ情報セキュリティ難易度:hard
E社のPCで不審な外部通信が観測されたが、ディスクを走査するパターンマッチング型の対策ソフトはマルウェア本体のファイルを検出できなかった。調査では、OS標準のスクリプト実行機能がメモリ上で悪用され、ディスクに実行ファイルを残さず動作していたことが判明した。この脅威に対し検出力を高める対策として、最も適切なものはどれか。
ディスク上のファイルを照合する走査を、より短い間隔で繰り返し実施する。
実行中のプロセスやメモリ上の操作の流れを観察し、不審な振る舞いから判定する。
既知の検体を識別する定義ファイルを、これまでより頻繁に取得して最新に保つ。
受信メールの添付を拡張子で仕分けし、実行形式に該当するものを入口で一律に遮断する。
正解
実行中のプロセスやメモリ上の操作の流れを観察し、不審な振る舞いから判定する。

本脅威は実行ファイルをディスクに残さずメモリ上で正規スクリプト機能を悪用するファイルレスマルウェアである。ファイルの有無に依存しないため、メモリ上の挙動やプロセスの振る舞いを監視・分析する方式(ビヘイビア検知やEDR)なら、ファイルがなくても異常な動作として検出できる。

?選択肢ごとの解説

ア ×走査の間隔を縮めてもディスクに検査対象のファイルが存在しないため、ファイルレス型は依然として検出できない。
イ ○本脅威は実行ファイルをディスクに残さずメモリ上で正規スクリプト機能を悪用するファイルレスマルウェアである。ファイルの有無に依存しないため、メモリ上の挙動やプロセスの振る舞いを監視・分析する方式(ビヘイビア検知やEDR)なら、ファイルがなくても異常な動作として検出できる。
ウ ×定義ファイルの取得を速めても、そもそもファイルを照合するパターン方式自体がファイルレス型には届かない。
エ ×添付の拡張子仕分けは侵入経路の一部を塞ぐが、既にメモリ上で動作している本件の検出力向上には直接寄与しない。

くわしく

ファイルレスマルウェアはOS標準のスクリプトやツールを悪用してディスクに痕跡を残さず動く。署名(パターン)照合は『ファイルがある』前提のため無力で、メモリ・プロセス・コマンド実行の振る舞いを見る検知方式への転換が要諦である。

本番での押さえどころ

試験のコツ

『ディスクに本体を残さずメモリ上で正規機能を悪用』はファイルレス型。対策はビヘイビア検知やEDRの挙動監視。

覚え方

ファイルレスは『足跡を残さない侵入者』。床(ファイル)を調べても無駄、動き(挙動)で捕まえる。

よくある誤り

パターン照合の精度や頻度を高めれば対処できると考えがちだが、検査対象のファイル自体が存在しない以上、方式そのものを変える必要がある。

情報セキュリティの他の問題

この問題を、AIの8-ways解説つきで。

基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。

無料ではじめる →

ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0053

【基本情報技術者試験】マルウェアの問題 — 解答・解説|ukamiru 過去問