基本情報技術者試験「マルウェア」の問題
I社では、まだ対策ソフトのパターン定義に登録されていない新種のマルウェアが、添付ファイルとして次々と送られてくる事態に直面している。これら未知の検体を、実行による被害を出さずに事前に判定したい。最も適切な検査方式はどれか。
ア登録済みの指紋と検体を一つずつ突き合わせ、定義に載っているものだけを悪性と判定する。
イ検体に付された電子署名の有無を見て、署名のないファイルを一律で弾く。
ウ検体のファイルサイズと拡張子の組合せから、危険かどうかを推し量る。
エ本番と切り離した仮想環境で検体を動かし、現れた振る舞いから悪性かを見極める。
正解
エ.本番と切り離した仮想環境で検体を動かし、現れた振る舞いから悪性かを見極める。
課題はパターン定義に未登録の未知マルウェアの事前判定である。隔離された仮想環境(サンドボックス)で検体を実際に実行し、不正な通信やファイル改変などの挙動を観察すれば、既知パターンに頼らず、かつ本番環境に被害を出さずに悪性かどうかを判定できる。
?選択肢ごとの解説
ア ×指紋照合は登録済みの既知マルウェアしか判定できず、未登録の新種である本件の検体は検出できない。
イ ×署名の有無だけでの遮断は正規の未署名ファイルまで弾く一方、署名を偽装・流用した検体は通すため、悪性判定の手段として不正確である。
ウ ×サイズと拡張子だけでは悪性かどうかを判断できず、偽装で容易に回避されるため、未知検体の判定には不十分である。
エ ○課題はパターン定義に未登録の未知マルウェアの事前判定である。隔離された仮想環境(サンドボックス)で検体を実際に実行し、不正な通信やファイル改変などの挙動を観察すれば、既知パターンに頼らず、かつ本番環境に被害を出さずに悪性かどうかを判定できる。
✎くわしく
マルウェア対策の検知方式は『パターン(既知の指紋照合)』『ビヘイビア(挙動監視)』『サンドボックス(隔離実行)』に大別される。未知検体には指紋がないため、隔離環境で実際の振る舞いを観察する動的解析が有効である。
✓本番での押さえどころ
試験のコツ
『未知・新種を被害なく事前判定』はサンドボックス(隔離環境で実行し挙動観察)。既知照合のパターン方式と区別する。
覚え方
サンドボックスは『砂場で試させる』。安全な囲いの中で実際に遊ばせ、悪さをするか見てから判断する。
よくある誤り
パターン定義の更新を急げば未知にも対応できると考えがちだが、定義が作られる前の新種はパターン方式では原理的に検出できない。
情報セキュリティの他の問題
A社の経理担当者が、取引先を装ったメールに添付された請求書ファイルを業務PCで開いたところ、見慣れない画面が一瞬表示されて消…B社のWebサービスで、複数の利用者アカウントに対し正しいIDとパスワードの組合せによるログインが短時間に外部から成立する事…C社では、退職予定者や異動者のアカウント権限の見直しが滞り、業務上不要になった共有フォルダへのアクセス権が残り続けている。情…D社のファイルサーバがランサムウェアに感染し、業務ファイルが暗号化された。D社は日次でバックアップを取得しているが、バックア…E社の従業員に、取引先銀行を名乗る『口座情報の更新が必要』というメールが届いた。本文中のリンク先URLにアクセスすると、銀行…F社は社外の従業員が、カフェなどの公衆無線LANを利用して社内システムへアクセスしている。通信内容が経路上で第三者に盗聴・改…
この問題を、AIの8-ways解説つきで。
無料ではじめる →基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。
ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0057