よむ、つかう、まなぶ。
令和6年上半期におけるサイバー空間をめぐる脅威の情勢等について (49 ページ)
出典
| 公開元URL | https://www.npa.go.jp/publications/statistics/cybersecurity/data/R6kami/R06_kami_cyber_jousei.pdf |
| 出典情報 | 令和6年上半期におけるサイバー空間をめぐる脅威の情勢等について(9/19)《警察庁》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
資料編
コラム2 不正プログラムの検出回避手法(DLL サイドローディング)
Windows で実行されるアプリ等のプログラムは、プログラムの実行に必要な情報
が記録されている DLL というファイルを使用している。DLL サイドローディング
とは、悪意のある動作が記録された DLL を正規のアプリから読み込ませ、不正プ
ログラムを実行する手法である。ウイルス対策ソフトからは、正規のアプリが動作
を実行しているように見えるため、検出が困難となる。
コラム3 不正プログラムの解析妨害手法(API ハッシング)
サイバー攻撃者は、Windows 等 OS の機能を利用するための仕組みである API の
名前を難読化(ハッシュ化)し、解析者がプログラムコードを確認しただけでは、
プログラムの機能を理解しにくいようにしている。
APIハッシング
ハッシュ化されたAPI名
API名を解決する処理
RtlDecompressBuffer
圧縮されたデータを解除するAPI
通常
RtlDecompressBuffer
の呼出し
44
コラム2 不正プログラムの検出回避手法(DLL サイドローディング)
Windows で実行されるアプリ等のプログラムは、プログラムの実行に必要な情報
が記録されている DLL というファイルを使用している。DLL サイドローディング
とは、悪意のある動作が記録された DLL を正規のアプリから読み込ませ、不正プ
ログラムを実行する手法である。ウイルス対策ソフトからは、正規のアプリが動作
を実行しているように見えるため、検出が困難となる。
コラム3 不正プログラムの解析妨害手法(API ハッシング)
サイバー攻撃者は、Windows 等 OS の機能を利用するための仕組みである API の
名前を難読化(ハッシュ化)し、解析者がプログラムコードを確認しただけでは、
プログラムの機能を理解しにくいようにしている。
APIハッシング
ハッシュ化されたAPI名
API名を解決する処理
RtlDecompressBuffer
圧縮されたデータを解除するAPI
通常
RtlDecompressBuffer
の呼出し
44