情報処理安全確保支援士試験 情報処理安全確保支援士試験 令和3年度春期 午前Ⅱ 問13: マルウェアの検出手法であるビヘイビア法を説明したものはどれか。

問題本文

マルウェアの検出手法であるビヘイビア法を説明したものはどれか。

選択肢

• ア.あらかじめ特徴的なコードをパターンとして登録したマルウェア定義ファイルを用いてマルウェア検査対象と比較し，同じパターンがあればマルウェアとして検出する。
• イ.マルウェアに感染していないことを保証する情報をあらかじめ検査対象に付加しておき，検査時に不整合があればマルウェアとして検出する。
• ウ.マルウェアの感染が疑わしい検査対象のハッシュ値と，安全な場所に保管されている原本のハッシュ値を比較し，マルウェアを検出する。
• エ.マルウェアの感染や発病によって生じるデータの読込みの動作，書込みの動作，通信などを監視して，マルウェアを検出する。

正解

エ. マルウェアの感染や発病によって生じるデータの読込みの動作，書込みの動作，通信などを監視して，マルウェアを検出する。

解説

ビヘイビア(挙動)法は、検査対象を実行または監視し、ファイルの読み書き・通信・レジストリ変更など不審な動作(振る舞い)を観測してマルウェアを検出する手法。既知パターンに依存しないため、新種や亜種・未知のマルウェアにも対応しやすい。動作を監視して検出するエが正解。実務ではサンドボックスやEDRの検知ロジックの中核となり、シグネチャ法を補完する。

選択肢ごとの解説

• ア.特徴的コードのパターンと照合する手法はパターンマッチング(シグネチャ法)で、挙動を見るビヘイビア法ではない。
• イ.事前付加情報との不整合で検出するのはチェックサム法(インテグリティ法)で、動作監視のビヘイビア法ではない。
• ウ.原本とのハッシュ値比較で検出するのはコンペア法で、振る舞いを観測するビヘイビア法とは異なる。
• エ.読み書き・通信などの動作を監視して検出する点がビヘイビア法そのものであり、これが正解。