目次
問題文
マルウェアの検出手法であるビヘイビア法を説明したものはどれか。
ア あらかじめ特徴的なコードをパターンとして登録したマルウェア定義ファイルを用いてマルウェア検査対象を検査し,同じパターンがあればマルウェアとして検出する。
イ マルウェアに感染していないことを保証する情報をあらかじめ検査対象に付加しておき,検査時に不整合があればマルウェアとして検出する。
ウ マルウェアへの感染が疑わしい検査対象のハッシュ値と,安全な場所に保管されている原本のハッシュ値を比較し,マルウェアとして検出する。
エ マルウェアへの感染によって生じるデータ読込みの動作,書込みの動作,通信などを監視して,マルウェアとして検出する。
解説
解答
エ
ア 定義ファイルを使ってパターンマッチングする方法
これは シグネチャ法 の説明です。
過去に確認されたマルウェアの特徴的なコード断片やパターン(シグネチャ)を定義ファイルに登録し、それと一致するかどうかを調べて検出します。
既知のマルウェアに対しては非常に高速かつ正確に検出できますが、新種や派生型など未知のマルウェアには対応できない弱点があります。
イ あらかじめ付加した保証情報を検証する方法
これは インテグリティチェック型の手法に近い説明です。
ソフトウェアやファイルにハッシュ値や電子署名などの「改ざんされていない証拠」を付加しておき、検査時に不一致なら感染や改ざんがあったと判断します。
正規ソフトウェアの配布時の検証や改ざん防止には効果的ですが、未知のマルウェアの検出には向いていません。
ウ ハッシュ値を原本と比較して検出する方法
こちらも インテグリティ検証型の方法です。
安全に保管された「正しい原本」のハッシュ値と、検査対象のファイルのハッシュ値を比較し、不一致なら感染と判断します。
確実に改ざんを検出できる一方で、正しい原本が用意できなければ運用が難しく、新しい攻撃手法を能動的に見つけることはできません。
エ 動作を監視して不審な挙動を検出する方法
これが ビヘイビア法(振る舞い検知)の説明です。
マルウェア感染によって引き起こされる典型的な挙動、例えば不審なファイルの作成やシステム領域への書き込み、外部への異常な通信などを監視し、検知します。
既知・未知を問わずマルウェア特有の振る舞いを検出できるため、シグネチャ法では対応できない新種マルウェアに対しても有効です。
ただし、誤検知のリスクがあるため、他の手法と組み合わせて利用されるのが一般的です。
