情報処理安全確保支援士試験 情報セキュリティスペシャリスト試験 平成26年度春期 午前Ⅱ 問7: ポリモーフィック型ウイルスの説明として，適切なものはどれか。

問題本文

ポリモーフィック型ウイルスの説明として，適切なものはどれか。

選択肢

• ア.インターネットを介して，攻撃者がPCを遠隔操作する。
• イ.感染するごとにウイルスのコードを異なる鍵で暗号化し，ウイルス自身を変化させて同一のパターンで検知されないようにする。
• ウ.複数のOSで利用できるプログラム言語でウイルスを作成することによって，複数のOS上でウイルスが動作する。
• エ.ルートキットを利用してウイルスに感染していないように見せかけることによって，ウイルスを隠蔽する。

正解

イ. 感染するごとにウイルスのコードを異なる鍵で暗号化し，ウイルス自身を変化させて同一のパターンで検知されないようにする。

解説

ポリモーフィック型ウイルスは感染のたびに本体を異なる鍵で暗号化し、コードの見かけを変えてシグネチャ検出を回避する。複号ルーチンも変化させることが多い。イが正解。実務ではパターンマッチだけでなく、振る舞い検知やサンドボックス、エミュレーションによる検出が必要となる。

選択肢ごとの解説

• ア.遠隔操作はRAT（ボット）の説明で、自己変化による検出回避を指すポリモーフィック型とは異なり誤り。
• イ.感染ごとに鍵を変えて暗号化し同一パターンで検知されないようにする点が定義どおりで正しい。
• ウ.複数OSで動作するのはクロスプラットフォーム型の特徴で、ポリモーフィック型の定義ではないため誤り。
• エ.感染を隠すルートキット利用はステルス型の説明で、自己変化を本質とする本問とは異なり誤り。