情報セキュリティマネジメント試験の令和6年度の公開問題(科目 A・B)を解こう。
今回のテーマは、「マルウェアの検出方法」である。
令和6年度 情報セキュリティマネジメント試験 公開問題 科目 A・B 問3
問3 マルウェアの検出方法のうち,検査対象のプログラムを実行する必要があるものは
どれか。
ア コンペア法
イ チェックサム法
ウ パターンマッチング法
エ ビヘイビア法
答えを確認する
正解は エ です。
【前提知識】
マルウェアの検出方法
※マルウェアとは「Malicious (悪意のある)」と「Software (ソフトウェア)」を組み合わせた言葉で、悪意をもって作られたプログラム全般を指す。
- コンペア法
- チェックサム法
- パターンマッチング法
- ビヘイビア法
それでは、各肢を検討していこう。
ア 誤り。
コンペア法(比較法)
「原本と現在の姿を比べる」 方法である。プログラムを実行する必要はない。
- 仕組み: あらかじめ安全な状態にあるファイルの「原本」や「バックアップ」を保存しておき、定期的に現在のファイルと比較する。
- 特徴: 1バイトでも違いがあれば「改ざん(ウイルス感染)の疑いあり」と判定する。
- メリット: 未知のウイルスによる書き換えも検知できる可能性がある。
- デメリット: 大量のファイルを比較するため時間がかかることや、原本を安全に保管しておく必要がある点です。
イ 誤り。
チェックサム法
「データの一部または全体を特定のアルゴリズムで計算して得られる値で変化を確認する」 方法である。プログラムを実行する必要はない。
- 仕組み: ファイルのチェックサム(データの整合性を確認するための情報)を比較し、ファイルが改ざんされていないかを確認する。
例えば、送信者と受信者(または保存前後)が同じアルゴリズムで値を計算し、一致するかどうかで整合性を確認できる。 - 特徴: コンペア法のようにファイルそのものを丸ごと残しておく必要がなく、数値データだけを管理すれば良いため効率的である。
- メリット: 処理が高速で、データの整合性を確認するのに適している。
- デメリット: 「どこがどう変わったか」まではわからず、ファイルの改ざん自体は防げない。
ウ 誤り。
パターンマッチング法
「定義ファイルと照合する」 方法で、最も一般的な手法である。
プログラムを実行する必要はない。
- 仕組み: 既知のウイルスの特徴的なデータ(シグネチャ)をデータベース化しておき、スキャン対象のファイルの中に同じパターンがないか探す。
- 特徴: 過去に見つかったウイルスを確実に特定できる。
- メリット: 誤検知が少なく、既に判明しているウイルスに対して強力である。
- デメリット: まだファイルに載っていない「新型(亜種)」や「未知」のウイルスには太刀打ちできない。
エ 正しい。
ビヘイビア法(ふるまい検知)
サンドボックスなど隔離環境でプログラムを実行し、「怪しい動き(行動)をしていないか監視する」 方法である。
- 仕組み: プログラムの中身(データ)ではなく、実際に動かしたときの「挙動」を見る。
- 特徴: 実行中の動作をリアルタイムで監視する「動的解析」の一種である。
- メリット: パターンが決まっていない未知のウイルスや、新種の攻撃も防げる可能性がある。
- デメリット: 正当なプログラムの動作を「ウイルスだ」と誤判定(過検知)してしまうことがある。
| 手法 | 判定の基準 | 得意なこと | 苦手なこと |
| コンペア法 | 元のファイルとの一致 | 改ざんの発見 | 原本の保管が必要 |
| チェックサム法 | 計算した数値の一致 | 高速な整合性チェック | 感染箇所の特定は不可 |
| パターンマッチング | 指名手配リストとの照合 | 既知のウイルスの駆除 | 新種のウイルスに弱い |
| ビヘイビア法 | 実行中の「ふるまい」 | 未知のウイルスの検知 | 正常な動作を誤検知する |
コメント