マルウェアの履歴(No.1) - ウェブトラッカー

[ トップ ] [ 新規 | 一覧 | 検索 | 最終更新 | ヘルプ | ログイン ]

マルウェア†

マルウェアとは†

利用者の意図に反する不正な振る舞いをするソフトウェア

マルウェアの種類†

PUA†

Potentially Unwanted Application
マルウェアと言う程の悪質さはないが、不適切な動作をするアプリケーションのこと

PUAの種類

ポリモーフィック型ウィルス†

感染するごとに異なる暗号鍵を使ってマルウェア自身を暗号化することで、コンペア法やパターンマッチング法では検知されないようにするマルウェア

マルウェアが行う行為†

情報収集
侵入
妨害
破壊
改竄

マルウェアの特徴†

実行ファイルを使って感染させるための手法†

ファイル名の拡張子
- .exe
- .lnk
- .xlsx.exe
- .xlsx △△△△△△△△△△.exe ※△はスペース

ファイルのアイコン
- 特定のソフトウェアに偽装されている

ファイル名
- RLO(Right-to-Left Override)を使って偽装されている

メールのURLを使って感染させるための手法†

表示されているURLと実際のURLが異なる

マルウェアの対策†

対策を行う環境
- 通信経路上で行う対策
  - IPS
  - サンドボックス
  - アンチウィルスツール
  - アンチスパムツール
  - URLフィルタリングツール
  - プロキシサーバ
  - VDI (仮想ブラウザ、仮想メールクライアント)

エンドポイント環境で行う対策
- アンチウィルスツール (パターンマッチング型、振る舞い検知型)
- パーソナルファイアウォール
- EDR

入り口対策
- マルウェアの侵入・感染を防ぐ対策
出口対策
- 侵入・感染したマルウェアの外部への接続を防ぐ対策

マルウェアを検出する手法†

ファイル比較型
- コンペア法
  - 原本と比較して検出する

パターンマッチング法
- 定義ファイル(パターンファイル)を用いて、特徴的なコード(シグネチャ)のパターンと比較して検出する
- 定義ファイルに登録されていないと検出できない
- ポリモーフィック型ウィルスや、未知のウィルスは検出できない

チェックサム法・インテグリティチェック法
- 検査対象がマルウェアでないことを保証する情報をチェックして検出する
- 保証する方法：チェックサム、デジタル署名

行動検知型
- ヒューリスティック法
  - 登録されている動作と比較して検出する

ビヘイビア法
- 感染と発病の動作の異常を検出する
- 感染と発病による環境の変化を検知する

サンドボックス
- サンドボックス(仮想環境)上でファイルの振る舞いをチェックして検出する

フォールスポジティブとフォールスネガティブ†

関連サイト†

未知ウイルス検出技術に関する調査 (IPA)
https://www.ipa.go.jp/security/fy15/reports/uvd/index.html

マルウェア解析用サンドボックス†

AnyRUN
https://app.any.run/

ウィルス検査サービス†

VirusTotal - Google
https://www.virustotal.com/

関連用語†