こんにちは、フルスタックエンジニアのryuです。
今回の記事は、基本情報技術者試験の過去問解説です。マルウェアの動的解析に関する問題です。動的解析とは、マルウェアを実際に動作させて、その挙動を解析する手法のことです。さらに詳しく解説します。
マルウェアの動的解析に該当するものはどれか
今回の記事では、以下の問題について解説します。
マルウェアの動的解析に該当するものはどれか。
ア:検体のハッシュ値を計算し,オンラインデータベースに登録された既知のマルウェアのハッシュ値のリストと照合してマルウェアを特定する。
イ:検体をサンドボックス上で実行し,その動作や外部との通信を観測する。
ウ:検体をネットワーク上の通信データから抽出し,さらに,逆コンパイルして取得したコードから検体の機能を調べる。
エ:ハードディスク内のファイルの拡張子とファイルヘッダの内容を基に,拡張子が偽装された不正なプログラムファイルを検出する。
出典:令和元年秋期 問36
答えは、『イ』の「検体をサンドボックス上で実行し,その動作や外部との通信を観測する。」です。
今回の記事では、動的解析について詳しく解説します。
マルウェアの動的解析とは?
ここからは、動的解析について解説します。
動的解析とはマルウェアを動作させて解析する手法
動的解析とは、マルウェアを実際に動作させて挙動を解析する手法のことです。マルウェアが外部とどのような通信を行うのか、内部のプログラムにどのような影響を及ぼすのかを解析します。
マルウェアをPC上で実行すると、そのPCはウィルスに感染します。そこで動的解析するときには、サンドボックスが使用されます。
サンドボックスとは、ユーザーが通常利用する領域から隔離した場所です。PC内に仮想環境を構築して、疑似環境を作り出します。動的解析は、このサンドボックス内でマルウェアを動作させて解析を行います。
動的解析と静的解析の違い
動的解析とは別に静的解析というものがあります。静的解析とは、マルウェアを実行させずに、コンピュータに残されたファイルなどのマルウェアに関連する情報の中身を見て解析する手法です。
動的解析と静的解析の違いはマルウェアを動作させるかどうかです。
ただ、最近のマルウェアはプログラムを暗号化し、ソースコードが読み取れないように細工されているので、静的解析は専門的な知識が無いと調査するのは難しいです。
動的解析と静的解析の両方を使用してマルウェアの解析を進めます。マルウェアについてさらに勉強したい方はこちらの参考書がオススメです。
過去問解説まとめ
今回の記事では、以下の問題について解説しました。
マルウェアの動的解析に該当するものはどれか。
ア:検体のハッシュ値を計算し,オンラインデータベースに登録された既知のマルウェアのハッシュ値のリストと照合してマルウェアを特定する。
イ:検体をサンドボックス上で実行し,その動作や外部との通信を観測する。
ウ:検体をネットワーク上の通信データから抽出し,さらに,逆コンパイルして取得したコードから検体の機能を調べる。
エ:ハードディスク内のファイルの拡張子とファイルヘッダの内容を基に,拡張子が偽装された不正なプログラムファイルを検出する。
出典:令和元年秋期 問36
答えは、『イ』でした。その他の選択肢の解説については以下の通りです。
- ア→コンペア法の説明
- ウ→静的解析の説明
- エ→メタ情報を利用したマルウェア検出手法
その他のセキュリティに関連した基本情報の問題はこちら。
以上で解説を終わります。当ブログでは、このようなネットワークに関する内容や基本情報技術者試験の過去問解説をしているので興味のある方は引き続きご覧ください。