逆アセンブル
Disassembly
ぎゃくあせんぶる
実行可能形式のバイナリファイルを機械語からアセンブリ言語に変換し、プログラムの処理内容を解読する技術。マルウェアの静的解析で用いられ、コードの機能・通信先・暗号化ロジックなどを特定する。逆コンパイル(デコンパイル)と合わせて活用される。
情報セキュリティインシデント管理の推進又は支援に関すること > 証拠の収集及び分析
関連キーワードの用語
SCサンドボックス
不審なプログラムやファイルを隔離された仮想環境で安全に実行し、その挙動を観察・分析する技術。マルウェアの動的解析に使用され、ファイル操作、レジストリ変更、ネットワーク通信などの振る舞いを記録する。マルウェア対策ソフトの検知を回避する解析妨害手法への対処も重要となる。
SCマルウェア解析
検体となるマルウェアの動作・目的・影響範囲を調査する技術。サンドボックスで実際に動作させる動的解析と、逆アセンブルなどでコードを読み解く静的解析がある。解析結果はインシデントの被害範囲の特定やIoCの抽出、再発防止策の立案に活用される。
SCランサムウェア
感染したPCやサーバのファイルを暗号化したり、画面をロックして使用不能にし、復旧と引換えに身代金(ランサム)を要求するマルウェア。データのバックアップ、3-2-1ルール、イミュータブルバックアップなどが対策として重要。
SCボット
攻撃者のC&Cサーバからの指令で遠隔操作されるマルウェア。感染した多数の端末でボットネットを構成し、DDoS攻撃やスパムメール送信などに悪用される。マルウェアMiraiはIoT機器を標的としたボットネットの代表例。
SC標的型攻撃
特定の組織や個人を狙い、巧妙に細工されたメールやWebサイトを用いてマルウェアに感染させるサイバー攻撃。長期間にわたり潜伏して情報を窃取するAPT(持続的標的型攻撃)が代表的。水飲み場型攻撃やスピアフィッシングが手口として使われる。
SCC&Cサーバ
ボットネットに感染した端末に対して攻撃指令を送信するためのサーバ。攻撃者はC&Cサーバを通じてボットを遠隔操作し、DDoS攻撃やデータ窃取を行う。通信にはHTTPSやDNSトンネリングなどが使われることがある。