基本情報技術者試験「マルウェア」の問題
E社のPCで不審な外部通信が観測されたが、ディスクを走査するパターンマッチング型の対策ソフトはマルウェア本体のファイルを検出できなかった。調査では、OS標準のスクリプト実行機能がメモリ上で悪用され、ディスクに実行ファイルを残さず動作していたことが判明した。この脅威に対し検出力を高める対策として、最も適切なものはどれか。
アディスク上のファイルを照合する走査を、より短い間隔で繰り返し実施する。
イ実行中のプロセスやメモリ上の操作の流れを観察し、不審な振る舞いから判定する。
ウ既知の検体を識別する定義ファイルを、これまでより頻繁に取得して最新に保つ。
エ受信メールの添付を拡張子で仕分けし、実行形式に該当するものを入口で一律に遮断する。
正解
イ.実行中のプロセスやメモリ上の操作の流れを観察し、不審な振る舞いから判定する。
本脅威は実行ファイルをディスクに残さずメモリ上で正規スクリプト機能を悪用するファイルレスマルウェアである。ファイルの有無に依存しないため、メモリ上の挙動やプロセスの振る舞いを監視・分析する方式(ビヘイビア検知やEDR)なら、ファイルがなくても異常な動作として検出できる。
?選択肢ごとの解説
ア ×走査の間隔を縮めてもディスクに検査対象のファイルが存在しないため、ファイルレス型は依然として検出できない。
イ ○本脅威は実行ファイルをディスクに残さずメモリ上で正規スクリプト機能を悪用するファイルレスマルウェアである。ファイルの有無に依存しないため、メモリ上の挙動やプロセスの振る舞いを監視・分析する方式(ビヘイビア検知やEDR)なら、ファイルがなくても異常な動作として検出できる。
ウ ×定義ファイルの取得を速めても、そもそもファイルを照合するパターン方式自体がファイルレス型には届かない。
エ ×添付の拡張子仕分けは侵入経路の一部を塞ぐが、既にメモリ上で動作している本件の検出力向上には直接寄与しない。
✎くわしく
ファイルレスマルウェアはOS標準のスクリプトやツールを悪用してディスクに痕跡を残さず動く。署名(パターン)照合は『ファイルがある』前提のため無力で、メモリ・プロセス・コマンド実行の振る舞いを見る検知方式への転換が要諦である。
✓本番での押さえどころ
試験のコツ
『ディスクに本体を残さずメモリ上で正規機能を悪用』はファイルレス型。対策はビヘイビア検知やEDRの挙動監視。
覚え方
ファイルレスは『足跡を残さない侵入者』。床(ファイル)を調べても無駄、動き(挙動)で捕まえる。
よくある誤り
パターン照合の精度や頻度を高めれば対処できると考えがちだが、検査対象のファイル自体が存在しない以上、方式そのものを変える必要がある。
情報セキュリティの他の問題
A社の経理担当者が、取引先を装ったメールに添付された請求書ファイルを業務PCで開いたところ、見慣れない画面が一瞬表示されて消…B社のWebサービスで、複数の利用者アカウントに対し正しいIDとパスワードの組合せによるログインが短時間に外部から成立する事…C社では、退職予定者や異動者のアカウント権限の見直しが滞り、業務上不要になった共有フォルダへのアクセス権が残り続けている。情…D社のファイルサーバがランサムウェアに感染し、業務ファイルが暗号化された。D社は日次でバックアップを取得しているが、バックア…E社の従業員に、取引先銀行を名乗る『口座情報の更新が必要』というメールが届いた。本文中のリンク先URLにアクセスすると、銀行…F社は社外の従業員が、カフェなどの公衆無線LANを利用して社内システムへアクセスしている。通信内容が経路上で第三者に盗聴・改…
この問題を、AIの8-ways解説つきで。
無料ではじめる →基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。
ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0053