HOME»情報セキュリティマネジメント試験掲示板»平成30年春期午前 問16 解説について
投稿する
平成30年春期午前 問16 解説について [1274]
Gominokasさん(No.1)
ワームの検知方式の一つとして,検査対象のファイルからSHA-256を使ってハッシュ値を求め,既知のワーム検体ファイルのハッシュ値のデータベースと照合する方式がある。この方式によって,検知できるものはどれか。
という問題に対して
設問のウイルス検出方式は「コンペア法」と呼ばれ、検査対象ファイルのハッシュ値と、安全な場所に保管してあるその対象の原本のハッシュ値を比較して、もし【異なっていればウイルスとして判断】します。
ウイルス検体のハッシュの生成に使用されるハッシュ関数は、任意の長さの入力データに対して固定長のビット列(ハッシュ値,メッセージダイジェスト)を返す関数で、次のような特徴を持っています。
入力データが同じであれば、常に同じメッセージダイジェストが生成される。
入力データが少しでも異なっていれば生成されるメッセージダイジェストは大きく異なったものになる。
メッセージダイジェストから元の入力データを再現することが困難である。
異なる入力データから同じメッセージダイジェストが生成される可能性が非常に低い。
これらの特徴から検査対象が既知のワーム検体ファイルと【同一であれば】ハッシュ値が同じになり【ウイルスと判定】されますが、それ以外のケースではハッシュ値が異なったものになるため検出することは困難になります。
※解答は「ワーム検体と同一のワーム」
と解説されています。
コンペア法の解説では「異なっていればウイルスとして判断」とされていますが
本問の解答の解説については「同一であれば〜ウイルスと判定」とされており、自己矛盾が発生しています。
指摘内容としては、FE試験ドットコムの掲示板 【[4350] 令和元年秋午前問36選択肢ア解説について】に記載している通り、パターンマッチング法ではないかという内容です。
基本情報技術者平成27年秋期 午前問43にも同様の解説がついておりますので、ご確認お願いします。
という問題に対して
設問のウイルス検出方式は「コンペア法」と呼ばれ、検査対象ファイルのハッシュ値と、安全な場所に保管してあるその対象の原本のハッシュ値を比較して、もし【異なっていればウイルスとして判断】します。
ウイルス検体のハッシュの生成に使用されるハッシュ関数は、任意の長さの入力データに対して固定長のビット列(ハッシュ値,メッセージダイジェスト)を返す関数で、次のような特徴を持っています。
入力データが同じであれば、常に同じメッセージダイジェストが生成される。
入力データが少しでも異なっていれば生成されるメッセージダイジェストは大きく異なったものになる。
メッセージダイジェストから元の入力データを再現することが困難である。
異なる入力データから同じメッセージダイジェストが生成される可能性が非常に低い。
これらの特徴から検査対象が既知のワーム検体ファイルと【同一であれば】ハッシュ値が同じになり【ウイルスと判定】されますが、それ以外のケースではハッシュ値が異なったものになるため検出することは困難になります。
※解答は「ワーム検体と同一のワーム」
と解説されています。
コンペア法の解説では「異なっていればウイルスとして判断」とされていますが
本問の解答の解説については「同一であれば〜ウイルスと判定」とされており、自己矛盾が発生しています。
指摘内容としては、FE試験ドットコムの掲示板 【[4350] 令和元年秋午前問36選択肢ア解説について】に記載している通り、パターンマッチング法ではないかという内容です。
基本情報技術者平成27年秋期 午前問43にも同様の解説がついておりますので、ご確認お願いします。
2022.06.01 12:54
管理人(No.2)
ご指摘ありがとうございます。
コンペア法の件は解説に不要なので削除させていただきました。
コンペア法の件は解説に不要なので削除させていただきました。
2022.06.06 14:51