ホーム > 情報処理安全確保支援士試験 > 2014年 春期
情報処理安全確保支援士試験 2014年 春期 午前2 問07
ポリモーフィック型ウイルスの説明として、適切なものはどれか。
ア:インターネットを介して、攻撃者がPCを遠隔操作する。
イ:感染するごとにウイルスのコードを異なる鍵で暗号化し、ウイルス自身を変化させて同一のパターンで検知されないようにする。(正解)
ウ:複数のOSで利用できるプログラム言語でウイルスを作成することによって、複数のOS上でウイルスが動作する。
エ:ルートキットを利用してウイルスに感染していないように見せかけることによって、ウイルスを隠蔽する。
解説
ポリモーフィック型ウイルスの説明 +【午前2 解説】
要点まとめ
- 結論:ポリモーフィック型ウイルスは感染ごとに自身のコードを異なる鍵で暗号化し、検知を回避します。
- 根拠:ウイルスのコードを変化させることで、シグネチャベースのウイルス検出を困難にする技術です。
- 差がつくポイント:暗号化によるコード変化と検知回避の仕組みを正確に理解しているかが重要です。
正解の理由
選択肢イは「感染するごとにウイルスのコードを異なる鍵で暗号化し、ウイルス自身を変化させて同一のパターンで検知されないようにする」とあり、これはポリモーフィック型ウイルスの特徴を正確に表しています。ポリモーフィックウイルスは自己のコードを暗号化し、復号ルーチンを変化させることで、シグネチャ検出を回避します。これにより、従来のパターンマッチング型ウイルス対策ソフトが検知しにくくなります。
よくある誤解
ポリモーフィック型ウイルスは単に複数のOSで動作するわけではなく、コードの暗号化と変化によって検知を逃れるウイルスです。遠隔操作やルートキットの利用は別の攻撃手法です。
解法ステップ
- 問題文の「ポリモーフィック型ウイルス」の意味を確認する。
- 各選択肢の説明がポリモーフィックの特徴に合致するかを検討する。
- 「コードを変化させて検知を回避する」という特徴がある選択肢を特定する。
- 選択肢イが該当するため、これを正解と判断する。
選択肢別の誤答解説
- ア: 遠隔操作はリモートアクセス型マルウェアの特徴であり、ポリモーフィックとは無関係です。
- イ: 正解。感染ごとにコードを暗号化し変化させることで検知を回避します。
- ウ: 複数OS対応はクロスプラットフォームウイルスの特徴であり、ポリモーフィックとは異なります。
- エ: ルートキットは隠蔽技術であり、ウイルスのコード変化とは別の手法です。
補足コラム
ポリモーフィックウイルスは1980年代後半に登場し、ウイルス対策ソフトのシグネチャ検出を突破するために開発されました。現在では、ヒューリスティック解析や行動検知技術がこれらのウイルス検出に用いられています。また、ポリモーフィックの進化形としてメタモーフィックウイルスも存在し、自己書き換え能力がさらに高度です。
FAQ
Q: ポリモーフィックウイルスはどのように検知されるのですか?
A: 従来のシグネチャ検出が困難なため、ヒューリスティック解析や振る舞い検知が主に用いられます。
A: 従来のシグネチャ検出が困難なため、ヒューリスティック解析や振る舞い検知が主に用いられます。
Q: ポリモーフィックウイルスとメタモーフィックウイルスの違いは?
A: ポリモーフィックはコードを暗号化して変化させるのに対し、メタモーフィックは自己書き換えでコード自体を変化させます。
A: ポリモーフィックはコードを暗号化して変化させるのに対し、メタモーフィックは自己書き換えでコード自体を変化させます。
関連キーワード: ポリモーフィックウイルス, ウイルス検知回避, 暗号化ウイルス, シグネチャ検出, マルウェア対策