マルウェア(4)
マルウェアを検出する手法
| 名称 | 概要 |
|---|---|
| コンペア法 | ウイルスの感染が疑わしい対象(検査対象)と安全な場所に保管してあるその対象の原本を比較し、異なっていれば感染を検出する手法 |
| パターンマッチング法 | あらかじめ特徴的なコードをパターンとして登録したウイルス定義ファイルを用いて、ウイルス検査対象と比較し、同じパターンがあれば検出する |
| チェックサム法/ インテグリティチェック法 | 検査対象に対して別途ウイルスではないことを保証する「チェックサム」「ディジタル署名」等の情報を付加し、保証がないか無効であることで検出する手法 |
| ヒュースティック法 | ウイルスのとるであろう動作を事前に登録しておき、ファイルの中で、ウイルスの特徴的な動作をしそうな部分を抜きだし、その部分におかしな動きをするものがないかを確認する。「動作の特徴コード」を検出に用いる |
| ビヘイビア法 | ウイルスの実際の感染・発病動作を監視して検出する手法。感染・発病動作として「書込み動作」「複製動作」「破壊動作」等の動作そのものの異常を検知する場合だけでなく、感染・発病動作によって起こる環境の様々な変化を検知することによる場合もこの手法に分類する。 |
ゼロデイ攻撃(zero-day attack)
セキュリティ製品の脆弱性が発見されてから,修正パッチが出される間のわずかな時間(zero-day:0日)に攻撃をする。開発元が製品の脆弱性に関するパッチを提供する前に,その脆弱性を悪用する攻撃
ランサムウェア
感染すると勝手にファイルやデータの暗号化などを行って,正常にデータにアクセスできないようにし,元に戻すための代金を利用者に要求するソフトウェア
ポリモーフィック型ウイルス
感染するごとにウイルスのコードを異なる鍵で暗号化し,ウイルス自身を変化させて同一のパターンで検知されないようにする
- ディジタルフォレンジックスとは
不正アクセスなどコンピュータに関する犯罪に対してデータの法的な証拠性を確保できるように,原因究明に必要なデータの保全,収集,分析をすること
Forensicとは「法廷の」という意味で、法的な証拠を残すという意味合いか?
※情報処理技術者試験では、ディジタルフォレンジックス(Digital Forensics)と コンピュータフォレンジクス(Computer Forensics)の両方の言葉が使われているが、どちらも同じ。
- 具体的には何をするのか?
(例)HPが改ざんされ、不正侵入されて情報が盗まれたとき
その原因および被害を把握するために証拠を集める
まずは、データの保全をする。
インシデント発生時点のハードディスクをコピーしたりして、完全にその状態を保存。 メモリ空間も大事。コマンド履歴などが残っている(これはメモリにしか記憶されていない)。きちんと保全しておけば、削除したファイルも、ハードディスクには残っている。それを復元して調査が可能。
次は、その証拠をもとに、不正侵入の事象・経路、被害の影響などを調査する。
- インシデント対応を円滑に行うための項目
(1)ログなどにおける異常事象の分析
(2)インシテント発生時の初期対応と作業の記録
(3)インシデントの証拠収集
(3)は,いわゆるコンピュータフォレンジクスの技法についての検討。インシデント発生時の被害の内容及び範囲の確認並びに発生原因の調査のために必要な情報を確実に保全し、発生した事象を様々な要素から解明することが目的である。
ログ分析とフォレンジック分析は別物
| ログ分析 | :あくまでもログだけ |
| フォレンジック分析 | :ログ以外も対象にしている |
ログは一部の情報しか出力されない。ログだけでは分からないから、実際のファイルやレジストリなどを確認する必要がある。
また、管理者権限を乗っ取られると、そもそもログを消される可能性もある。
ファイルの数は膨大であるため、最初からフォレンジック解析で、該当ファイルを調査すると、非効率。ログを分析して、攻撃等の状況を把握し、あたりをつけて実際のファイルなどを確認する。
※証拠と原本との同一性を証明するため、ディジタルフォレンジックスでハッシュ値を利用する。
