ホーム > ITストラテジスト試験 > 2024年
ITストラテジスト試験 2024年 午前2 問24
マルウェアが、その実行ファイルをターゲットのコンピュータのファイルシステム上に生成せずに、メモリ上にだけ生成することによって、マルウェア対策ソフトが行うマルウェアのファイル解析と検知を難しくする攻撃はどれか。
ア:OSコマンドインジェクション攻撃
イ:カミンスキー攻撃
ウ:クロスサイトスクリプティング攻撃
エ:ファイルレス攻撃(正解)
解説
マルウェアがメモリ上にのみ生成される攻撃とは【午前2 解説】
要点まとめ
- 結論:マルウェアがファイルを生成せずメモリ上だけで動作する攻撃は「ファイルレス攻撃」です。
- 根拠:ファイルレス攻撃はディスクに痕跡を残さず、従来のファイル解析型マルウェア対策を回避します。
- 差がつくポイント:ファイルレス攻撃はメモリ解析や振る舞い検知が重要で、ファイルベースの検知手法では見逃されやすい点を理解しましょう。
正解の理由
「ファイルレス攻撃」はマルウェアが実行ファイルをファイルシステムに生成せず、メモリ上でのみ活動する攻撃手法です。これにより、従来のマルウェア対策ソフトが行うファイル解析や署名検知が困難になります。問題文の条件に合致するのは「エ」のファイルレス攻撃です。
よくある誤解
ファイルレス攻撃は単にファイルを隠すだけでなく、ファイルを生成しないため検知が難しい点が特徴です。ファイルが存在しないため、通常のウイルススキャンでは検出されにくいことを理解しましょう。
解法ステップ
- 問題文の「実行ファイルをファイルシステム上に生成しない」という条件に注目する。
- 選択肢の意味を確認し、ファイルを生成しない攻撃を探す。
- OSコマンドインジェクションやクロスサイトスクリプティングはファイル生成を伴わないが、マルウェアのファイル解析回避とは異なる。
- カミンスキー攻撃はDNSの脆弱性を突く攻撃で無関係。
- ファイルレス攻撃が条件に最も合致するため正解と判断する。
選択肢別の誤答解説
- ア: OSコマンドインジェクション攻撃
OSのコマンドを不正に実行させる攻撃で、ファイル生成の有無は問題の焦点ではありません。 - イ: カミンスキー攻撃
DNSの脆弱性を突く攻撃であり、マルウェアのファイル生成や検知回避とは無関係です。 - ウ: クロスサイトスクリプティング攻撃
Webサイト上でスクリプトを実行させる攻撃で、ファイルレスマルウェアとは異なります。 - エ: ファイルレス攻撃
メモリ上のみでマルウェアを実行し、ファイル解析を回避する攻撃で正解です。
補足コラム
ファイルレス攻撃は近年増加傾向にあり、メモリ解析や振る舞い検知、EDR(Endpoint Detection and Response)などの高度な対策が求められています。従来の署名ベースの検知では対応が難しいため、セキュリティ対策の進化が必要です。
FAQ
Q: ファイルレス攻撃はどのように感染するのですか?
A: 多くは正規の管理ツールやスクリプトを悪用し、マルウェアをメモリ上に展開します。フィッシングメールや脆弱性を利用することもあります。
A: 多くは正規の管理ツールやスクリプトを悪用し、マルウェアをメモリ上に展開します。フィッシングメールや脆弱性を利用することもあります。
Q: ファイルレス攻撃を検知するにはどうすればよいですか?
A: メモリの振る舞い監視や異常検知、EDRツールの導入が効果的です。ファイルベースの検知だけでは不十分です。
A: メモリの振る舞い監視や異常検知、EDRツールの導入が効果的です。ファイルベースの検知だけでは不十分です。
関連キーワード: ファイルレス攻撃, メモリマルウェア, マルウェア検知, 振る舞い検知, EDR, マルウェア対策