ITの仕組みを学びながらIT資格を目指しましょう。
本ブログで目指す資格は、「基本情報技術者試験」です。
基本情報技術者試験については、こちらもご参照ください。
問題については、独立行政法人情報処理推進機構(IPA)が公開している「サンプル問題」を利用します。
この問題の取り扱いは、IPAが定める指針に基づきます。
まずは、「科目A」について、学んでいきましょう。
今回のテーマは、「マルウェアの動的解析」です。
科目A試験サンプル問題 「マルウェアの動的解析」
問35 マルウェアの動的解析に該当するものはどれか。
ア 検体のハッシュ値を計算し,オンラインデータベースに登録された既知のマルウェアのハッシュ値のリストと照合してマルウェアを特定する。
イ 検体をサンドボックス上で実行し,その動作や外部との通信を観測する。
ウ 検体をネットワーク上の通信データから抽出し,さらに,逆コンパイルして取得したコードから検体の機能を調べる。
エ ハードディスク内のファイルの拡張子とファイルヘッダの内容を基に,拡張子が偽装された不正なプログラムファイルを検出する。
正解:イ
マルウエアの解析には大きく「表層解析」「動的解析」「静的解析」の3種類があります。
動的解析は文字通り、マルウエアを実際に動作させて、その挙動から解析する手法です。ファイルの情報から解析する表層解析や、プログラムコードから解析する静的解析にはないメリットがある一方で、デメリットもあります。
メリット
・感染時の挙動や被害を直接把握できる。
・対策や復旧に役立つ情報を取得できる。
デメリット
・感染させても問題ない環境が必要
・動的解析を回避するマルウエアが存在する
デメリットに挙げたように、マルウエアを感染させても問題がない環境を用意する必要があります。当然のことながら、実際の業務システムを感染させるわけにはいきません。
一般的には「VMware」や「VirtualBox」といった仮想環境を利用します。仮想環境なら業務システムに影響を与えることはありませんし、感染前の環境にも容易に戻せます。
(参考)日経XTECHのWebサイト マルウエアの挙動を調べる「動的解析」
コメント