web-dev-qa-db-ja.com

さまざまな種類のマルウェアの明確な用語?

マルウェア、ウイルスなど、多くの情報セキュリティ用語に厳密な境界がないことに文献で気づきました。一部の人々は、ウイルス、ワーム、ルートキット、およびすべての有害なソフトウェアが置かれている傘をマルウェアと言います。他のものはそれらを全く異なる概念として分類します。

まず、これらの用語を明確に定義する標準はありますか?

第二に、マルウェアがすべての有害なソフトウェアの傘である場合、私はそれを悪用と実行可能ファイルの二分法に分類することを考えています。前者は機能するために脆弱性を必要とし、ユーザーがそれを実行する必要はありません。後者は、ユーザーがそれらを実行する必要がある自己完結型です。これは良い分類法でしょうか、それとも欠陥がありますか?

3
Sari

マルウェアの用語

まず、これらの用語を明確な方法で定義する標準はありますか?

マルウェアは、あらゆるソフトを含む広い用語です焼き物 実行する 悪い悪質な行動。マルウェアのさまざまなクラスには、いくつかの一般的な名前があります。 「ウイルス」という用語の場合のように、特定の定義は時間とともに変化することがよくあります。マルウェアのさまざまな形式の一般的な定義は次のとおりです。

  • ウイルス既存のプログラムを変更し、それらに「感染」させることで、コンピュータが悪意を持って変更されたソフトウェアで完全に満たされるまで、それらの実行によってウイルスの拡散も引き起こされます。真のウイルスは今日ではかなりまれですが、この用語はマルウェアと同義語として使用され続けています。
  • トロイの木馬ビデオゲームやスクリーンセーバーなどの無害なプログラムに偽装します。実行するにはユーザーの操作が必要です。これらは急流では一般的です。
  • Worms多くの場合、ネットワーキングサービスのソフトウェアの脆弱性を悪用することにより、ネットワークを介して拡散します。一般的なソフトウェアを悪用するワームは、非常に急速に広がる可能性があります。初期のワームの1つである376バイトのプログラムであるSQL Slammerは、最初の10分以内に75,000台のコンピューターに感染しました。積極的な複製の結果として、インターネット全体の速度が低下しました。
  • Rootkitsは、自己非表示の権限昇格ツールキットです。これらは高い特権レベルを持つシステムに自分自身を埋め込むように設計されており、コンピューター上で実行されているものがそれを検出できないようにします。ルートキットは、ウイルス対策ソフトウェアを完全に回避できることがよくあります。システムの起動時にシステムをハイジャックするためにブートプロセスに感染するルートキットは、しばしばブートキットと呼ばれます。
  • ランサムウェアは古いですが、最近人気を得ています。単純なランサムウェアは、身代金が支払われるまで被害者のコンピューターをロックするだけです。よりモダンで洗練されたランサムウェアは実際にファイルを暗号化し、身代金が支払われるまで復号化を拒否します。これらのプログラムは、最初に実行されるとすぐにジョブが完了するため、削除を回避するための努力をほとんどしません。
  • スパイウェアは、ユーザーのプライベートアクティビティを監視し、それをスパイウェアの所有者に報告する悪意のあるソフトウェアのクラスです。ストーカーから身元情報窃盗犯まで誰でも使用できます。
  • アドウェアは、最も害の少ないマルウェアの1つです。アドウェアには、コンピュータに広告を表示または挿入するソフトウェアが含まれます。同意なしにインストールされた場合、または削除を回避しようとした場合は悪意があると見なされます。通常、ブラウザのツールバーとして実装されます。

マルウェアは複数のクラスに属する場合があります。たとえば、ネットワーク上に広がり、永続化のためにカーネルに自分自身を埋め込むプログラムは、ワームとルートキットの両方になります。

エクスプロイトと実行ファイル

第二に、マルウェアがすべての有害なソフトウェアの傘である場合、私はそれを悪用と実行可能ファイルの二分法に分類することを考えています。

エクスプロイトは悪意のあるものではありません。エクスプロイトは、セキュリティの脆弱性を利用して、サービスまたはタスクの機密性、整合性、または可用性を侵害しようとするあらゆるものです。高度なマルウェア、特にワームには、セキュリティの障壁を広げるためのエクスプロイトが含まれている可能性があります。ただし、マルウェアはすべてソフトであるため、すべてのマルウェアは実行可能ファイルの分類に分類されます。焼き物 (または、それ自体が実行可能ファイルではなく、実行中のプロセスに注入されるシェルコードの場合のように、少なくとも実行可能コード)。

あなたが説明しているように見えるのは、ワームまたはブラウザのエクスプロイト(相互作用なしで拡散することができる)とトロイの木馬(感染を引き起こすためにユーザーとの対話が必要)の違いです。この分類法は、既存の状況に何も追加しません。これらの用語は、一般に悪意のある動作を簡単に説明する傾向があるため、用語の改善は特に必要ありません。

9
forest

まず、これらの用語を明確な方法で定義する標準はありますか?

私が知っていることではありません。新しい種類のマルウェアが出現し、他のものが重要性を失ったので、用語は時間とともに進化しただけです。また、脅威の状況が変化していることを考えると、これらの用語はおそらく将来的にも進化するでしょう。さらに、さまざまな用語はさまざまな側面を表しています。ランサムウェア、アドウェアまたはスパイウェアは影響を説明し、トロイの木馬およびワームはその配信方法を説明し、ルートキットは被害者のどこに存在するかなどを説明します。

これは良い分類法か欠陥があると思いますか?

どんな分類法を使用しても、おそらくいくつかの特定の側面に偏っているか、過度に複雑で使用できないでしょう。提案する分類法は、自動実行とユーザー主導の実行という1つの側面に集中しています。それはあなたの特定の目的に合うかもしれませんが、他の有用な側面は、マルウェアがどのように配信されるか、それがどのような影響を与えるか、標的とされるかどうか、標的とするシステムの種類、自己複製するかどうか、そしてどのようにかなどです。

したがって、問題は分類法がそれ自体で良いのかどうかではありません。分類法のユースケースがわかっている場合にのみ、このユースケースに適合するかどうかを判断できます。ユースケースは不明であるため、これがユースケースに適した分類法であるかどうかは明確ではありません。個人的には、そもそもソフトウェアがユーザーにどのように届くかについて(私にとって)重要な側面が欠けている提案を見つけました。

4
Steffen Ullrich