アカデミック

【初学者向け】情報セキュリティ<マルウェア編>

この記事では,研究のサーベイをまとめていきたいと思います。ただし,全ての論文が網羅されている訳ではありません。また,分かりやすいように多少意訳した部分もあります。ですので,参考程度におさめていただければ幸いです。

間違えている箇所がございましたらご指摘ください。随時更新予定です。他のサーベイまとめ記事はコチラのページをご覧ください。

参考文献は最後に記載してあります。

本記事の内容

大学で学習した「情報セキュリティ」の内容を網羅的にまとめていくものです。目次は以下の記事をご覧ください。

【初学者向け】情報セキュリティ<目次編>この記事では,研究のサーベイをまとめていきたいと思います。ただし,全ての論文が網羅されている訳ではありません。また,分かりやすいように多...

 

マルウェアの種類

サイバー攻撃に関しては,以下の記事でもまとめていますので,参考にしていただければと思います。

【超初心者向け】サイバー攻撃の種類と概要・一覧を分かりやすく解説します!本記事は教養記事シリーズその31です。その他の教養記事はコチラの目次をご覧ください。 サイバー攻撃 サイバー攻撃とは...

 

マルウェアの定義

Software or firmware intended to perform an unauthorized process that will have adverse impact on the confidentiality, integrity, or availability of an information system.

NIST SP 800-53 Rev. 4

かいつまめば,マルウェアとは悪意のあるソフトウェアの総称です。たとえば,ウィルスやワーム,トロイの木馬,ランサムウェア,スパイウェア,スケアウェア等が該当します。

 

ウィルス

ウィルスは,以下の機能のうち1つ以上を有するものとして定められています。(経済産業省 コンピュータウイルス対策基準)

●自己伝染機能
→自らの機能によって他のプログラムに自らをコピーする
●潜伏機能
→発症するまで症状を出さない
●発病機能
→設計者の意図しない動作をする(データの破壊等)

狭義のウィルスでは,自分自身だけでは増殖できず,ファイルやプログラムに寄生して鮎喰のある活動をします。

 

感染のタイプによって,ウィルスは主に以下のように分類できます。

●システム領域に感染
→OS・ブートローダー・BIOS等に感染
●プログラムファイルに感染
→exe, com, dllなどのファイルに感染
●マクロウィルス
→文書などのデータファイルに感染
●複合感染型
→システムとファイル両方に感染

 

ワーム

ウィルスとはことなり,単体で増植していくマルウェアです。たとえば,ワーム自分自身が自分自身をメールに添付して送りつけるような例が考えられます。自己増殖が急激に行われると,DDoS攻撃としてシステムに負荷をかけたり破壊したりします。

 

トロイの木馬

一見無害なものと見せかけて,潜在的に有害なものを潜伏させているプログラムを,トロイの木馬と呼びます。特徴としては,「自己増殖せず」「単体で活動し」「外部と通信する」ことが挙げられます。

ギリシア戦争でギリシア側がトロイア側に兵を入れた木馬を送りつけて滅亡させた話が由来になっていると言われています。
ランサムウェアはトロイの木馬の一種です。勝手にデータを暗号化し,複合化するための身代金を要求するようなプログラムです。

 

スパイウェア

ユーザに気づかせないように情報(閲覧履歴・チャット履歴など)を送らせるようなマルウェアのことを,スパイウェアと呼びます。

 

スケアウェア

ユーザの恐怖心を煽ることで,支払いを要求したり個人情報を盗んだりしようとするマルウェアのことを,スケアウェアと呼びます。よくスマホの広告としても出てくることがあります。

 

マルウェアを利用した攻撃

ひと昔前までは,マルウェアを利用した攻撃のモチベーションは「能力の誇示」や「嫌がらせ」でした。しかし,現在ではもっぱら経済目的で悪用されるケースがほとんどです。

MITB(Man In The Browser)

マルウェアがブラウザを乗っ取ってしまう攻撃です。たとえば,ネットバンクを利用した送金時に,指定先の講座を改ざんしてしまう例が挙げられます。ワンタイムパスワードの導入などで対策を施すことができます。

 

ボットネット

知らないうちに乗っ取られているシステムのことを「ボット」と呼びます。そして,多数のボットを一斉に利用するシステムを「ボットネット」と呼びます。DDoS攻撃やパスワードの総当たり攻撃に利用されます。

 

標的型攻撃

特定の組織を狙って行われるサイバー攻撃を標的型攻撃と呼びます。2015年には,日本年金機構がターゲットにされて年金加入者の個人情報がが標的になりました。

 

ファイル名偽造

たとえば,拡張子が「.txt」とみせかけて,実は「.exe」であるようなファイルが利用されます。ヘブライ語等の言語が右から左の方向へ表示させる仕組みを利用したものがあります。

 

マルウェアの感染経路

メール添付・Web

思わず開けてしまいたくなるような内容のメールやWebサイト,本物と間違えるような内容のメールなどを通じてマルウェアが感染することがありあす。特に,公的機関を装ったメールがよく利用されます。(文科省,銀行等)

 

リムーバブルメディア

USBメモリ等のリムーバブルメディアを通じてマルウェアが感染するケースも多いです。

 

偽装アップデート

アップデートの遠視署名の不備などが原因で偽のアップデートを実行してしまうことにより,マルウェアが感染することもあります。

 

アプリストア

主にスマートフォンのアプリストアにマルウェアを忍び込ませることで,通話記録やSMSの操作などの被害を及ばせる危険性があります。

 

システムの脆弱性

システムの脆弱性を利用して,何かしらの手段でマルウェアを感染させます。

 

マルウェアへの対策

以上のようなマルウェアに対策する方法は,主に以下のようなものが挙げられます。

●アンチウィルスソフトの利用
→既知の脅威にしか対応できない
●ふるまい検知
→仮想環境等で怪しいふるまいがないかを検知する
●被害の最小化
→早期発見
→感染されたシステムの停止
→データの保護
●EDR(Endpoint Detection and Response)
→不審な挙動をする端末の監視システムシステムの真正性の確認
→OSから独立したセキュリティチップ(TPM)の利用
→TPMの書き込み専用レジスタに次に実行するモジュールを記録しておく
●Secure Boot
→信頼できるオフとウェアのみを使ってPCを起動する
→信頼性は電子署名で担保
●Credential Guard(Windows10)
→資格情報を仮想マシンに隔離
●ARM TrustZone
→システムをNormal WorldとSecure Worldに分けることで,秘匿性の高いシステムの実行を安全に行わせる

 

まとめ

情報セキュリティのマルウェアについてお伝えしました。「私がこんな目にあうとは思いもしなかった」とならないように,普段から外部ファイルや不審な情報にアンテナを張っておく必要があります。

ABOUT ME
zuka
京都大学で機械学習を学んでいます。

COMMENT

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

※ Please enter your comments in Japanese to prevent spam.