情報セキュリティ

基本情報技術者試験マルウェア」の問題

情報セキュリティ情報セキュリティ難易度:hard
I社では、まだ対策ソフトのパターン定義に登録されていない新種のマルウェアが、添付ファイルとして次々と送られてくる事態に直面している。これら未知の検体を、実行による被害を出さずに事前に判定したい。最も適切な検査方式はどれか。
登録済みの指紋と検体を一つずつ突き合わせ、定義に載っているものだけを悪性と判定する。
検体に付された電子署名の有無を見て、署名のないファイルを一律で弾く。
検体のファイルサイズと拡張子の組合せから、危険かどうかを推し量る。
本番と切り離した仮想環境で検体を動かし、現れた振る舞いから悪性かを見極める。
正解
本番と切り離した仮想環境で検体を動かし、現れた振る舞いから悪性かを見極める。

課題はパターン定義に未登録の未知マルウェアの事前判定である。隔離された仮想環境(サンドボックス)で検体を実際に実行し、不正な通信やファイル改変などの挙動を観察すれば、既知パターンに頼らず、かつ本番環境に被害を出さずに悪性かどうかを判定できる。

?選択肢ごとの解説

ア ×指紋照合は登録済みの既知マルウェアしか判定できず、未登録の新種である本件の検体は検出できない。
イ ×署名の有無だけでの遮断は正規の未署名ファイルまで弾く一方、署名を偽装・流用した検体は通すため、悪性判定の手段として不正確である。
ウ ×サイズと拡張子だけでは悪性かどうかを判断できず、偽装で容易に回避されるため、未知検体の判定には不十分である。
エ ○課題はパターン定義に未登録の未知マルウェアの事前判定である。隔離された仮想環境(サンドボックス)で検体を実際に実行し、不正な通信やファイル改変などの挙動を観察すれば、既知パターンに頼らず、かつ本番環境に被害を出さずに悪性かどうかを判定できる。

くわしく

マルウェア対策の検知方式は『パターン(既知の指紋照合)』『ビヘイビア(挙動監視)』『サンドボックス(隔離実行)』に大別される。未知検体には指紋がないため、隔離環境で実際の振る舞いを観察する動的解析が有効である。

本番での押さえどころ

試験のコツ

『未知・新種を被害なく事前判定』はサンドボックス(隔離環境で実行し挙動観察)。既知照合のパターン方式と区別する。

覚え方

サンドボックスは『砂場で試させる』。安全な囲いの中で実際に遊ばせ、悪さをするか見てから判断する。

よくある誤り

パターン定義の更新を急げば未知にも対応できると考えがちだが、定義が作られる前の新種はパターン方式では原理的に検出できない。

情報セキュリティの他の問題

この問題を、AIの8-ways解説つきで。

基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。

無料ではじめる →

ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0057

【基本情報技術者試験】マルウェアの問題 — 解答・解説|ukamiru 過去問