Entry № 945
ポリモーフィック型マルウェア
ポリモーフィック型マルウェア とは何ですか?
ポリモーフィック型マルウェア感染のたびに再暗号化やパッキングによってディスク上の外見を変化させつつ、内部ロジックは保ったままのマルウェア。
ポリモーフィック型マルウェアは、暗号化/パッカー層と小さな変異する復号ルーチンを使い、復号後のペイロードが同一でもファイル毎に外観を変える。これによりハッシュやバイト列に基づくシグネチャ検知を大きく無効化する。命令の並び替え、ジャンクコード挿入、レジスタの動的選択など多様な手法が用いられる。メタモーフィック型と異なり、ペイロード本体は書き換えられず、外側のラッパーのみが変化する。対策としては、ふるまい検知、アンパック後のメモリスキャン、復号後文字列を狙う YARA ルール、EDR/XDR、そしてファイルバイトのみでなく動的特徴に基づく機械学習分類器が有効である。
● 例
- 01
シグネチャ回避のため頻繁にリパックされた Storm Worm。
- 02
拡散の度に変異した長寿命のポリモーフィック型ファイル感染ウイルス Virut。
● よくある質問
ポリモーフィック型マルウェア とは何ですか?
感染のたびに再暗号化やパッキングによってディスク上の外見を変化させつつ、内部ロジックは保ったままのマルウェア。 サイバーセキュリティの マルウェア カテゴリに属します。
ポリモーフィック型マルウェア とはどういう意味ですか?
感染のたびに再暗号化やパッキングによってディスク上の外見を変化させつつ、内部ロジックは保ったままのマルウェア。
ポリモーフィック型マルウェア からどのように防御しますか?
ポリモーフィック型マルウェア に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
ポリモーフィック型マルウェア の別名は何ですか?
一般的な別名: 自己暗号化マルウェア, ポリモーフィックウイルス。