情報セキュリティマネジメント試験 情報セキュリティマネジメント試験 令和6年度 科目A 公開問題 問3: マルウェアの検出方法のうち，検査対象のプログラムを実行する必要があるものはどれか。

問題本文

マルウェアの検出方法のうち，検査対象のプログラムを実行する必要があるものはどれか。

選択肢

• ア.コンペア法
• イ.チェックサム法
• ウ.パターンマッチング法
• エ.ビヘイビア法

正解

エ. ビヘイビア法

解説

ビヘイビア法（動的ヒューリスティック法）は、検査対象のプログラムを実際に実行（または仮想環境で動作）させ、その挙動（ファイルへの不正書込み、外部通信など）を監視してマルウェアか否かを判定する手法である。プログラムの実行を前提とする点が他の静的手法と異なる。よって、実行を必要とするビヘイビア法を示すエが正解である。

選択肢ごとの解説

• ア.コンペア法は検査対象と安全な原本ファイルを比較して改ざんを検出する静的手法であり、プログラムを実行しないため誤り。
• イ.チェックサム法はファイルのハッシュ値やチェックサムの変化で改ざんを検出する静的手法であり、実行を伴わないため誤り。
• ウ.パターンマッチング法は既知マルウェアのシグネチャ（特徴コード）と照合する静的手法であり、プログラムを実行しないため誤り。
• エ.ビヘイビア法はプログラムを実行してその振る舞いを監視し感染を検知する動的手法であり、実行を必要とするため正しい。