HOME»情報セキュリティマネジメント令和6年»[科目A]問3
情報セキュリティマネジメント令和6年 [科目A]問3
問3
マルウェアの検出方法のうち,検査対象のプログラムを実行する必要があるものはどれか。
- コンペア法
- チェックサム法
- パターンマッチング法
- ビヘイビア法
分類
テクノロジ系 » セキュリティ » 情報セキュリティ対策
正解
エ
解説
- コンペア法は、検査対象ファイルと安全な場所に保管してあるファイル原本を比較して、異なっていればマルウェアとして判定する手法です。compareは「比較する」という意味です。ファイルの内容を比較するだけなので、検体を実行する必要はありません。
- チェックサム法は、あらかじめファイル原本に正当性を保証する情報(チェックサムやデジタル署名など)を付加しておき、検査対象ファイルで再計算した値が異なっていればマルウェアとして判定する手法です。インテグリティチェック法とも呼ばれます。ファイルの内容をもとに再計算するだけなので、検体を実行する必要はありません。
- パターンマッチング法は、シグネチャコードと呼ばれる既知のマルウェアに特徴的なコードパターンをデータベース化し、検査対象のファイルがそのパターンを有していればマルウェアと判定する手法です。ファイルの内容を静的にチェックするだけなので、検体を実行する必要はありません。
- 正しい。ビヘイビア法は、実際に検査対象のプログラムを動作させてその挙動を監視し、不正なデータ書込み・複製・破壊や通信量の異常など、不正な行動があればマルウェアと判定する手法です。behaviorは「振る舞い」という意味です。マルウェアの振る舞いを監視するため、検体を実行する必要があります。