ホーム > 情報処理安全確保支援士試験 > 2015年 秋期
情報処理安全確保支援士試験 2015年 秋期 午前2 問05
ポリモーフィック型ウイルスの説明として,適切なものはどれか。
ア:インターネットを介して,攻撃者がPCを遠隔操作する。
イ:感染するごとにウイルスのコードを異なる鍵で暗号化し,コード自身を変化させることによって,同一のパターンで検知されないようにする。(正解)
ウ:複数のOSで利用できるプログラム言語でウイルスを作成することによって,複数のOS上でウイルスが動作する。
エ:ルートキットを利用してウイルスに感染していないように見せかけることによって,ウイルスを隠蔽する。
解説
ポリモーフィック型ウイルスの説明【午前2 解説】
要点まとめ
- 結論:ポリモーフィック型ウイルスは感染ごとに自身のコードを暗号化し変化させ、検知を回避します。
- 根拠:ウイルスのコードを異なる鍵で暗号化し、同じパターンで検知されないようにする技術が特徴です。
- 差がつくポイント:単なる遠隔操作やマルチOS対応、隠蔽技術と混同せず、コード変化による検知回避に注目しましょう。
正解の理由
選択肢イは「感染するごとにウイルスのコードを異なる鍵で暗号化し、コード自身を変化させることで同一パターンで検知されないようにする」とあり、ポリモーフィック型ウイルスの本質を正確に表現しています。これはウイルスの自己変異機能により、シグネチャベースのウイルス検出を困難にするための技術です。
よくある誤解
ポリモーフィック型ウイルスは単に遠隔操作や複数OS対応、隠蔽技術とは異なります。コードの自己変異による検知回避が最大の特徴です。
解法ステップ
- 問題文の「ポリモーフィック型ウイルス」の意味を確認する。
- 選択肢の内容をウイルスの特徴と照らし合わせる。
- 「コードを変化させる」「暗号化する」など自己変異に関する記述を探す。
- それがある選択肢を正解と判断する。
- 他の選択肢はポリモーフィック型の特徴と異なるため除外する。
選択肢別の誤答解説
- ア: 遠隔操作はリモートアクセス型マルウェアの特徴であり、ポリモーフィック型とは無関係です。
- イ: 感染ごとにコードを異なる鍵で暗号化し変化させる説明はポリモーフィック型ウイルスの定義に合致します。
- ウ: 複数OS対応はクロスプラットフォームウイルスの特徴であり、ポリモーフィックとは異なります。
- エ: ルートキットによる隠蔽はステルス型ウイルスの技術で、ポリモーフィック型の説明ではありません。
補足コラム
ポリモーフィック型ウイルスは、ウイルス検出の主流であるシグネチャベース検出を回避するために開発されました。暗号化されたコードは復号化ルーチンを含み、実行時に元のコードに戻されます。これに対抗するため、近年はヒューリスティック解析や行動検知が重要視されています。
FAQ
Q: ポリモーフィック型ウイルスとステルス型ウイルスの違いは?
A: ポリモーフィック型はコードを変化させて検知を回避し、ステルス型はシステムの監視を妨害して感染を隠蔽します。
A: ポリモーフィック型はコードを変化させて検知を回避し、ステルス型はシステムの監視を妨害して感染を隠蔽します。
Q: なぜポリモーフィック型ウイルスは検知が難しいのですか?
A: 毎回コードが異なるため、シグネチャベースの検出が困難になり、検知パターンが通用しません。
A: 毎回コードが異なるため、シグネチャベースの検出が困難になり、検知パターンが通用しません。
関連キーワード: ポリモーフィックウイルス, ウイルス検知回避, 暗号化ウイルス, マルウェア, セキュリティ対策