基本情報技術者 2011年 秋期 午前(科目A) 問43
問題文
コンピュータウイルス対策ソフトのパターンマッチング方式を説明したものはどれか。
選択肢
ア:感染前のファイルと感染後のファイルを比較し、ファイルに変更が加わったかどうかを調べてウイルスを検出する。
イ:既知ウイルスのシグネチャコードと比較して、ウイルスを検出する。(正解)
ウ:システム内でのウイルスに起因する異常現象を監視することによって、ウイルスを検出する。
エ:ファイルのチェックサムと照合して、ウイルスを検出する。
コンピュータウイルス対策ソフトのパターンマッチング方式を説明したものはどれか。【午前2 解説】
要点まとめ
- 結論:既知ウイルスのシグネチャ(バイト列)とファイルやメモリを照合して一致を検出する方式がパターンマッチング方式です。
- 根拠:問題文の「既知ウイルスのシグネチャコードと比較して、ウイルスを検出する」という記述はパターンマッチングの定義と完全に一致します。
- 差がつくポイント:シグネチャ方式は既知ウイルスの高速検出に有効だが、未知や自己変形(ポリモーフィック)ウイルスには弱く、更新頻度や補助方式の理解が重要です。
正解の理由
選択肢の中で、既知ウイルスの「シグネチャコード」と比較する方式を示しているのは、イだけです。パターンマッチング(シグネチャベース検知)は、ウイルス固有のバイト列やコード断片をデータベースに保持し、スキャン対象と照合して一致すれば感染と判断します。そのため問題文の記述と対応し、正解はイです。
よくある誤解
- 「ファイル比較=パターンマッチング」と混同する:ファイルの変更検知は整合性監視であり、シグネチャ照合とは方法が異なります。
- 「チェックサムも同じ」と誤認する:チェックサムはファイル改変の有無を検出するための手段で、ウイルスの固有コード照合とは目的と精度が違います。
- 「パターンマッチングは万能」と期待する:既知のシグネチャに依存するため、未知や変種は検出できない点を見落としやすいです。
解法ステップ
- 問題文で注目すべきキーワードを探す:「シグネチャ」「比較」「既知ウイルス」など。
- 各選択肢を方式の定義と照らし合わせる。シグネチャ照合=パターンマッチング、異常監視=振る舞い検知、チェックサム/ファイル比較=整合性監視。
- 定義と完全に一致する選択肢を選ぶ(この問題では「既知ウイルスのシグネチャコードと比較して…」が直接の定義)。
選択肢別の誤答解説
- ア: 感染前後のファイル比較で変更を検出する方式はファイル整合性監視(Integrity Check)であり、パターンマッチングではありません。
- イ: 既知ウイルスのシグネチャコードと比較して検出する方式は典型的なパターンマッチング(シグネチャベース検知)で正解です。
- ウ: システム内の異常現象を監視して検出する方式は振る舞い検知(ビヘイビアベース検知)や侵入検知に該当し、パターンマッチングとは別です。
- エ: ファイルのチェックサムと照合して検出するのは、改ざん検出や整合性検査の手法で、シグネチャ照合とは目的と手法が異なります。
補足コラム
- パターンマッチング(シグネチャ方式)の長所は検出の高速性と誤検知率の比較的低さ(既知の正確なパターンがある場合)です。短所はシグネチャの更新を継続的に行わなければ新種・変異ウイルスに対応できない点です。
- ポリモーフィックやメタモーフィックウイルスはシグネチャを変化させるため、ヒューリスティック検知やエミュレーション、サンドボックスによる動的解析が併用されます。
- 実運用ではシグネチャ方式+振る舞い検知+クラウド相関分析など複数方式の組合せで検出精度を高めます。
FAQ
Q: パターンマッチングだけで十分ですか?
A: 既知ウイルスには有効ですが、未知や変異ウイルスには弱いため、他方式との併用が望ましいです。
A: 既知ウイルスには有効ですが、未知や変異ウイルスには弱いため、他方式との併用が望ましいです。
Q: チェックサムはウイルス検出に使えますか?
A: チェックサムはファイル改ざんの検知に使えますが、ウイルス固有のパターンを識別する目的には適しません。
A: チェックサムはファイル改ざんの検知に使えますが、ウイルス固有のパターンを識別する目的には適しません。
Q: シグネチャ更新はどのくらい重要ですか?
A: 非常に重要です。新種や亜種の検出には定期的なデータベース更新が必須です。
A: 非常に重要です。新種や亜種の検出には定期的なデータベース更新が必須です。
関連キーワード: ウイルス対策、パターンマッチング、シグネチャベース、ヒューリスティック検知、整合性監視、振る舞い検知
\ せっかくなら /
基本情報技術者を
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!