ネットワークスペシャリスト 2021年 午前2 問16
問題文
ポリモーフィック型マルウェアの説明として、適切なものはどれか。
選択肢
ア:インターネットを介して、攻撃者から遠隔操作される。
イ:感染ごとにマルウェアのコードを異なる鍵で暗号化するなどの手法によって過去に発見されたマルウェアのパターンでは検知されないようにする。(正解)
ウ:複数のOS上で利用できるプログラム言語でマルウェアを作成することによって、複数のOS上でマルウェアが動作する。
エ:ルートキットを利用してマルウェアを隠蔽し、マルウェア感染は起きていないように見せかける。
ポリモーフィック型マルウェアの説明 +【午前2 解説】
要点まとめ
- 結論:ポリモーフィック型マルウェアは、感染ごとにコードを変化させて検知を回避します。
- 根拠:暗号化やコード変換を用いて、既知のパターンマッチング検知を無効化する技術が特徴です。
- 差がつくポイント:単に遠隔操作や多OS対応ではなく、コードの自己変異による検知回避が本質である点を理解しましょう。
正解の理由
イは「感染ごとにマルウェアのコードを異なる鍵で暗号化するなどの手法によって過去に発見されたマルウェアのパターンでは検知されないようにする」とあり、ポリモーフィック型マルウェアの定義に合致します。これは自己変異機能を持ち、シグネチャベースの検知を回避するための典型的な手法です。
よくある誤解
ポリモーフィック型マルウェアは単なる遠隔操作型や多OS対応のマルウェアとは異なり、コードの変異による検知回避が本質です。ルートキットによる隠蔽は別の技術領域です。
解法ステップ
- ポリモーフィック型マルウェアの「ポリモーフィック(多形)」の意味を確認する。
- 選択肢の内容が「コードの変異や暗号化」に関するものかを見極める。
- 遠隔操作や多OS対応、隠蔽技術はポリモーフィックの定義に該当しないことを理解する。
- 「感染ごとにコードを変える」説明がある選択肢を正解と判断する。
選択肢別の誤答解説
- ア:遠隔操作型マルウェアの説明であり、ポリモーフィックとは無関係です。
- イ:正解。コードを変異させて検知を回避する特徴を正確に表現しています。
- ウ:複数OS対応はクロスプラットフォームの話で、ポリモーフィックとは異なります。
- エ:ルートキットは隠蔽技術であり、コード変異による検知回避とは別の概念です。
補足コラム
ポリモーフィック型マルウェアは、シグネチャベースのアンチウイルスソフトの検知を回避するために開発されました。自己変異機能により、同じマルウェアでも毎回異なるコードパターンを生成し、検知を困難にします。これに対抗するためには、ヒューリスティック分析や振る舞い検知が重要です。
FAQ
Q: ポリモーフィック型マルウェアとメタモーフィック型マルウェアの違いは?
A: ポリモーフィックは暗号化鍵を変えてコードを変異させるのに対し、メタモーフィックはコード自体を再構築し完全に書き換えます。
A: ポリモーフィックは暗号化鍵を変えてコードを変異させるのに対し、メタモーフィックはコード自体を再構築し完全に書き換えます。
Q: なぜポリモーフィック型マルウェアは検知が難しいのですか?
A: 毎回コードが変わるため、シグネチャ(パターン)ベースの検知が無効化され、未知のマルウェアとして扱われるからです。
A: 毎回コードが変わるため、シグネチャ(パターン)ベースの検知が無効化され、未知のマルウェアとして扱われるからです。
関連キーワード: ポリモーフィックマルウェア、マルウェア検知回避、シグネチャベース検知、暗号化、自己変異
\ せっかくなら /
ネットワークスペシャリストを
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!