ネットワークスペシャリスト 2023年午前2 問16

問題文

ポリモーフィック型マルウェアの説明として、適切なものはどれか。

選択肢

ア：インターネットを介して、攻撃者から遠隔操作される。

イ：感染ごとに自身のコードを異なる鍵で暗号化するなどの手法によって、過去に発見されたマルウェアのパターンでは検知されないようにする。（正解）

ウ：複数のOS上で利用できるプログラム言語で作成され、複数のOS上で動作する。

エ：ルートキットを利用して自身を隠蔽し、マルウェア感染が起きていないように見せかける。

ポリモーフィック型マルウェアの説明 +【午前2 解説】

要点まとめ

結論：ポリモーフィック型マルウェアは自身のコードを変化させて検知を回避するマルウェアです。
根拠：感染ごとに異なる鍵でコードを暗号化し、シグネチャベースの検知を困難にします。
差がつくポイント：単なる遠隔操作や多OS対応ではなく、コードの自己変異による検知回避が特徴です。

正解の理由

選択肢イは「感染ごとに自身のコードを異なる鍵で暗号化する」とあり、これはポリモーフィック型マルウェアの本質的な特徴です。マルウェアのコードを変化させることで、従来のパターンマッチング型アンチウイルスソフトの検知を回避します。これにより、過去に発見されたパターンでは検知されにくくなるため、正解となります。

よくある誤解

ポリモーフィック型マルウェアは単に遠隔操作されるリモートアクセス型や、複数OS対応のプログラムとは異なります。コードの自己変異による検知回避が本質です。

解法ステップ

問題文の「ポリモーフィック型マルウェア」の意味を確認する。
選択肢の特徴をマルウェアの分類と照らし合わせる。
「コードを変化させる」「暗号化する」などのキーワードを探す。
それがポリモーフィック型の特徴と合致するか判断する。
最も適切な選択肢を選ぶ。

選択肢別の誤答解説

ア: 遠隔操作型マルウェア（リモートアクセス型）であり、ポリモーフィックとは異なります。
イ: 正解。コードを変化させて検知を回避する特徴を正しく説明しています。
ウ: 複数OS対応のプログラム言語の説明であり、マルウェアの特徴ではありません。
エ: ルートキットによる隠蔽は別の技術であり、ポリモーフィックの説明としては不適切です。

補足コラム

ポリモーフィック型マルウェアは、自己変異によってシグネチャベースの検知を回避しますが、ヒューリスティック解析や振る舞い検知などの技術で対策が進んでいます。また、ポリモーフィックの進化形として「メタモーフィック型マルウェア」があり、こちらはコード全体を書き換える高度な変異を行います。

FAQ

Q: ポリモーフィック型マルウェアはどのように検知されるのですか？
A: 主に振る舞い検知やヒューリスティック解析で、コードの変化ではなく動作パターンを監視して検知します。

Q: ルートキットとポリモーフィック型マルウェアは同じですか？
A: いいえ。ルートキットは隠蔽技術であり、ポリモーフィックはコード変異による検知回避技術です。

関連キーワード: ポリモーフィックマルウェア、マルウェア検知、暗号化、シグネチャ回避、ルートキット、振る舞い検知

← 前の問題へ次の問題へ →

\ せっかくなら /

ネットワークスペシャリストを
クイズ形式で学習しませんか？

クイズ画面へ遷移する→

すぐに利用可能！