情報処理安全確保支援士 data_data_data

マルウェア

目次
  1. 代表的なマルウェア
  2. コンピュータウイルスの種類
  3. ウイルスの検知方法
  4. 検疫ネットワーク

代表的なマルウェア

コンピュータウイルス

コンピュータウイルスとは、データの搾取・破壊・改ざんマなどを目的に作成されたプログラムのことです。

次の3つのうち、どれか1つでも該当する場合は、コンピュータウイルスと定義されます。

  1. 自己伝染機能:他のシステムに伝染機能
  2. 潜伏機能:発病するための特定時刻・処理回数などの条件を記憶させて、発病するまで症状を出さない機能
  3. 発病機能:プログラムやデータを破壊したり、悪さをする機能



ワーム

ネットワークを使って、勝手に別ホストに移動して悪さをします。

コンピュータウイルスの種類

  • トロイの木馬:正規のプログラムに偽装して、不正機能を実施する。
  • ポリモーフィック、ミューテーション型:自己変異型。パターンが変わるように自己変異する。マルウェアの本体を暗号化することで、検出されないようにする。
  • メタモーフィック型:見た目を変えるために、プログラムのブロックを入れ替える。


あえて無駄な処理を入れたり、ジャンプ命令を多用したり、一部を暗号化することで、ウイルスプログラムを解読しにくくします。

これを難読化といいます。

コンピュータウイルスでは、難読化されていることが多いです。


ゼロデイ攻撃

セキュリティパッチが明らかになる前に、攻撃することです。

ウイルスの検知方法

代表的な手法は、パターンマッチングと、ヒューリスティックスキャンなどがあります。


検疫ネットワーク

検疫ネットワークとは、PCをネットワークに接続する時、通常の認証に加えてセキュリティ上の問題がないことを確認する仕組みです。

問題がある場合はネットワークへの接続を拒否したり、問題点を修正したりするシステムです。

引用:検疫ネットワークとは|Quarantine Network



検疫ネットワークには3つの特徴があります。



  • 検査機能:マルウェアに感染していないか、適切なソフトが入っているかなどを検査する
    • 検疫サーバ:検疫用ネットワークに配置。社内LANから隔離されたネットワークにある。
    • 検疫用クライアントソフト:PCにインストールしておく
  • 隔離機能:社内LANから隔離されたネットワークにあること。
  • 治療機能:セキュリティパッチ適用、禁止ソフトのアンインストール、必須ソフトのインストールなどを実施。



マルウェアの活動痕跡を消さないために、電源を切ったり、リセットをしないようにします。


RECOMMENDこちらの記事も人気です。