問題本文
社内のPCでマルウェアが発見された。そのマルウェアが他のPCにも存在するかどうかを調査する方法として,最も適切なものはどれか。
選択肢
- ア.そのマルウェアと同じアクセス権が設定されているファイルを探す。
- イ.そのマルウェアと同じ拡張子をもつファイルを探す。
- ウ.そのマルウェアと同じ所有者のファイルを探す。
- エ.そのマルウェアと同じハッシュ値のファイルを探す。
正解
エ. そのマルウェアと同じハッシュ値のファイルを探す。
解説
ハッシュ関数(Hash Function)は任意のデータから固定長のハッシュ値(ダイジェスト・フィンガープリント)を生成する一方向関数。同じ内容のファイルは必ず同じハッシュ値を生成し、1ビットでも内容が異なれば全く異なるハッシュ値になる(衝突困難性・一方向性)。マルウェア検出では発見したマルウェアのハッシュ値を既知マルウェアリスト(ウイルス定義)と照合し、同じハッシュ値のファイルが他のPCにあれば同一マルウェアと判定する手法(ハッシュベース検出)が利用される。SHA-256・MD5が代表的なハッシュ関数。
選択肢ごとの解説
- ア.誤り。アクセス権(読取り・書込み・実行等の許可設定)が同一のファイルはマルウェアとは限らない。多くの正規ファイルが同一のアクセス権設定を持つことは一般的であり、アクセス権の一致はファイルの実際のバイナリ内容が同一であることを保証しないため、マルウェア同定の根拠にはならない。
- イ.誤り。拡張子(.exe・.dll・.pdf等)は手動でリネームできるためファイルの真の内容を保証しない。悪意のあるファイルが正規ファイルの拡張子に偽装するケースも多く、拡張子の一致だけでは同一マルウェアの特定に十分ではない。ファイルの実際の内容を反映するハッシュ値と比べて信頼性が低い。
- ウ.誤り。ファイルの所有者(所有ユーザー名)が同じでも内容は全く異なる可能性がある。所有者情報はファイルシステムのアクセス制御設定であり、ファイルの実際のバイナリデータの内容を反映するものではないため、マルウェアの同一性確認の根拠として不十分である。
- エ.正解。ハッシュ値はファイルの全バイナリ内容から一意に計算される固定長の値で同一内容なら必ず同一ハッシュ値となる。既知マルウェアのハッシュ値をリストに登録し全PCの全ファイルと照合することで同一マルウェアの存在を高速・効率的に検出できる。これがウイルス対策ソフトのシグネチャベース検出の原理。
ITパスポート 2018年 (平成30年 秋期) の過去問一覧へ戻る・問84