情報処理安全確保支援士試験 情報セキュリティスペシャリスト試験 平成27年度秋期 午前Ⅱ 問5: ポリモーフィック型ウイルスの説明として，適切なものはどれか。

問題本文

ポリモーフィック型ウイルスの説明として，適切なものはどれか。

選択肢

• ア.インターネットを介して，攻撃者がPCを遠隔操作する。
• イ.感染するごとにウイルスのコードを異なる鍵で暗号化し，コード自身を変化させることによって，同一のパターンで検知されないようにする。
• ウ.複数のOSで利用できるプログラム言語でウイルスを作成することによって，複数のOS上でウイルスが動作する。
• エ.ルートキットを利用してウイルスに感染していないように見せかけることによって，ウイルスを隠蔽する。

正解

イ. 感染するごとにウイルスのコードを異なる鍵で暗号化し，コード自身を変化させることによって，同一のパターンで検知されないようにする。

解説

ポリモーフィック型ウイルスは、感染のたびに自身のコードを異なる鍵で暗号化し、復号ルーチンも変化させることで、シグネチャ(パターン)を毎回変え、パターンマッチング型の検知を回避する。よってイが正しい。実務ではこうした自己書換え型に対し、静的シグネチャだけでなく振る舞い検知やサンドボックス解析が有効になる。

選択肢ごとの解説

• ア.攻撃者がPCを遠隔操作するのはRAT(バックドア)型の説明で、ポリモーフィック型ではない。
• イ.感染ごとに異なる鍵で暗号化しコードを変化させ同一パターン検知を逃れる点が正解。
• ウ.複数OSで動くのはマルチプラットフォーム型の特徴で、コード変化による検知回避とは別概念。
• エ.ルートキットで存在を隠蔽するのはステルス型の説明で、ポリモーフィック型の定義ではない。