情報処理安全確保支援士令和3年春期 午前U 問13

午前U 問13

マルウェアの検出手法であるビヘイビア法を説明したものはどれか。
  • あらかじめ特徴的なコードをパターンとして登録したマルウェア定義ファイルを用いてマルウェア検査対象と比較し,同じパターンがあればマルウェアとして検出する。
  • マルウェアに感染していないことを保証する情報をあらかじめ検査対象に付加しておき,検査時に不整合があればマルウェアとして検出する。
  • マルウェアの感染が疑わしい検査対象のハッシュ値と,安全な場所に保管されている原本のハッシュ値を比較し,マルウェアとして検出する。
  • マルウェアの感染や発病によって生じるデータ読込みの動作,書込み動作,通信などを監視して,マルウェアとして検出する。
  • [この問題の出題歴]
  • 情報セキュリティ H21秋期 問8
  • 情報セキュリティ H23特別 問9
  • 情報セキュリティ H25春期 問13

分類

テクノロジ系 » セキュリティ » 情報セキュリティ対策

正解

解説

ビヘイビア法は、マルウェアの実際の感染・発病動作を監視して検出する手法です。
感染・発病動作として「書込み動作」「複製動作」「破壊動作」等の動作そのものの異常を検知する場合だけでなく、感染・発病動作によって起こる環境の様々な変化を検知することによる場合もこの手法に分類されます。例えば、「例外ポート通信・不完パケット・通信量の異常増加・エラー量の異常増加」「送信時データと受信時データの量的変化・質的変化」等がそれにあたります。

この他にもマルウェア検出技術には次のようなものがあります。
コンペア法
マルウェアの感染が疑わしい対象(検査対象)と安全な場所に保管してあるその対象の原本を比較し、異なっていれば感染を検出する手法。
パターンマッチング法
パターンデータ、マルウェアパターン、パターンファイル、マルウェア定義ファイル等を用いて、何らかの特徴的なコードをパターンとしてマルウェア検査対象と比較することで検出する手法
チェックサム法/インテグリティチェック法
検査対象に対して別途マルウェアではないことを保証する「チェックサム」「ディジタル署名」等の情報を付加し、保証がないか無効であることで検出する手法
ヒューリスティック法
マルウェアのとるであろう動作を事前に登録しておき、検査対象コードに含まれる一連の動作と比較して検出する手法
問題文のそれぞれの記述とマルウェア検出技術を合わせると次のようになります。
  • パターンマッチング法の説明です。
  • チェックサム法の説明です。
  • コンペア法の説明です。
  • 正しい。ビヘイビア法の説明です。
参考URL: IPA「未知ウイルス検出技術に関する調査」
 http://www.ipa.go.jp/security/fy15/reports/uvd/index.html
© 2014-2021 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop