石橋氏のセミナーでは、冒頭に陰性・陽性判定(True Positve / False Positive)に関する興味深い話がなされた。対象とするソフトウェアやイベントがマルウェア・攻撃であるかどうかは、単純に二値判定で単純なようだが、これが簡単ではないことはすでに述べた。わかりやすい例でいえば、バックアップファイルの削除、ログの削除など。これらの実行は悪意のある場合が考えられるが、管理者による通常処理でも発生し得る。コマンド実行や通信だけで、背後に悪意があるかどうかの判定は極めて難しい。
ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 永世名誉編集長 りく)
