情報セキュリティマネジメント試験 令和6年度 公開問題(過去問) 問3 について解説します。
問題
問3 マルウェアの検出方法のうち,検査対象のプログラムを実行する必要があるものはどれか。
ア コンペア法 イ チェックサム法
ウ パターンマッチング法 エ ビヘイビア法
解説・解答
「マルウェア」とは「悪意のあるソフトウェア(malicious software)」のことです。例えば、以下のようなものがマルウェアです。
・ウイルス: 自分をコピーして広がるプログラム
・ワーム: ネットワークを通じて自動で感染する
・トロイの木馬: 普通のソフトに見せかけて悪さをする
それぞれの選択肢について確認します。
ア: コンペア法
正常な状態のファイルやシステムと、現在の状態を比較することで、変更点(改ざんなど)を検出する方法です。マルウェアによる改変を検出できますが、プログラムの実行は不要です。
イ: チェックサム法
チェックサム(ハッシュ値)を使って異常な変更を検出する方法です。マルウェアによりプログラムなどの内容が変更されていれば、ハッシュ値が一致しないので検出が可能です。プログラムの実行は不要です。
ウ: パターンマッチング法
マルウェアの既知のシグネチャ(特徴的な文字列)と検査対象ファイルを比較する方法です。既知のマルウェアに対して有効ですが、未知のマルウェアは検出できません。特徴やパターンが一致するかを見るだけでプログラムの実行は不要です。
エ: ビヘイビア法
プログラムを実際に実行し、その振る舞い(行動)を監視・分析することでマルウェアかどうかを判断する方法です。プログラムがネットワークにアクセスする、ファイルを勝手に暗号化する、レジストリを改ざんするといったマルウェアの動作を検出します。未知のマルウェアにも対応可能です。プログラムの実行が必要なのでこれが正解です。
以上により、この問題の解答は「エ」になります。
