情報セキュリティマネジメント試験 情報セキュリティマネジメント試験 科目A サンプル問題 問29: マルウェアの動的解析に該当するものはどれか。

問題本文

マルウェアの動的解析に該当するものはどれか。

選択肢

• ア.検体のハッシュ値を計算し，オンラインデータベースに登録された既知のマルウェアのハッシュ値のリストと照合してマルウェアを特定する。
• イ.検体をサンドボックス上で実行し，その動作や外部との通信を観測する。
• ウ.検体をネットワーク上の通信データから抽出し，さらに，逆コンパイルして取得したコードから検体の機能を調べる。
• エ.ハードディスク内のファイルの拡張子とファイルヘッダの内容を基に，拡張子が偽装された不正なプログラムファイルを検出する。

正解

イ. 検体をサンドボックス上で実行し，その動作や外部との通信を観測する。

解説

マルウェアの動的解析とは，検体を実際に実行させ，その挙動（ファイル操作，レジストリ変更，外部通信など）を観測して機能を調べる手法である。安全のために隔離環境であるサンドボックス上で実行するのが一般的である。正解はイで，サンドボックスで検体を実行して動作や通信を観測することは動的解析に該当する。

選択肢ごとの解説

• ア.誤り。ハッシュ値を既知マルウェアのリストと照合する手法は，実行を伴わないシグネチャ照合であり動的解析ではない。
• イ.正しい。検体を実際に実行してその振る舞いや通信を観測しており，動的解析の典型例である。
• ウ.誤り。逆コンパイルしてコードを読み解く手法はプログラムを実行しない静的解析（コード解析）である。
• エ.誤り。拡張子とファイルヘッダを照合して偽装を検出する手法は静的な検査であり，実行を伴う動的解析ではない。