応用情報技術者 2018年 春期 午前2 問39
問題文
ポリモーフィック型マルウェアの説明として、適切なものはどれか。
選択肢
ア:インターネットを介して、攻撃者がPCを遠隔操作する。
イ:感染ごとにマルウェアのコードを異なる鍵で暗号化することによって、同一のパターンでは検知されないようにする。(正解)
ウ:複数のOS 上で利用できるプログラム言語でマルウェアを作成することによって、複数のOS上でマルウェアが動作する。
エ:ルートキットを利用して、マルウェアに感染していないように見せかけることによって、マルウェアを隠蔽する。
ポリモーフィック型マルウェアの説明 +【午前2 解説】
要点まとめ
- 結論:ポリモーフィック型マルウェアは感染ごとにコードを異なる鍵で暗号化し検知を回避します。
- 根拠:同一パターンの検知を防ぐため、自己変異しながら暗号化を行う技術が特徴です。
- 差がつくポイント:暗号化による自己変異と検知回避の仕組みを正確に理解することが重要です。
正解の理由
イは、ポリモーフィック型マルウェアの本質である「感染ごとにコードを異なる鍵で暗号化し、同一パターンでの検知を回避する」特徴を正しく説明しています。これにより、シグネチャベースのアンチウイルスソフトが検知困難になります。
よくある誤解
ポリモーフィック型マルウェアは単に複数OSで動作するわけではなく、また遠隔操作やルートキットとは別の技術概念です。
解法ステップ
- 問題文の「ポリモーフィック型マルウェア」の意味を確認する。
- 各選択肢の説明がポリモーフィックの特徴に合致するか検討する。
- 「コードの自己変異や暗号化による検知回避」がキーワードであることを認識する。
- それに該当する選択肢を選ぶ。
選択肢別の誤答解説
- ア:遠隔操作はリモートアクセス型マルウェアの特徴であり、ポリモーフィックとは無関係です。
- イ:正解。感染ごとにコードを異なる鍵で暗号化し検知を回避する説明が正しいです。
- ウ:複数OS対応はクロスプラットフォームの話で、ポリモーフィックの定義には含まれません。
- エ:ルートキットは隠蔽技術であり、ポリモーフィックの暗号化・変異とは異なります。
補足コラム
ポリモーフィック型マルウェアは、自己変異ウイルスの一種で、暗号化キーを変えることでシグネチャベースの検知を回避します。これに対抗するためには、ヒューリスティック解析や振る舞い検知が有効です。
FAQ
Q: ポリモーフィック型マルウェアはどのように検知されるのですか?
A: 主に振る舞い検知やヒューリスティック解析で、コードの変異ではなく動作パターンを監視します。
A: 主に振る舞い検知やヒューリスティック解析で、コードの変異ではなく動作パターンを監視します。
Q: ポリモーフィックとメタモーフィックの違いは何ですか?
A: ポリモーフィックは暗号化キーを変えてコードを変異させるのに対し、メタモーフィックはコード自体を再構築し完全に書き換えます。
A: ポリモーフィックは暗号化キーを変えてコードを変異させるのに対し、メタモーフィックはコード自体を再構築し完全に書き換えます。
関連キーワード: ポリモーフィックマルウェア、マルウェア検知、暗号化、自己変異、シグネチャ回避、ルートキット、振る舞い検知
\ せっかくなら /
応用情報技術者を
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!