基本情報技術者 2012年 秋期 午前(科目A) 問43
問題文
ウイルスの調査手法に関する記述のうち、適切なものはどれか。
選択肢
ア:逆アセンブルは、バイナリコードの新種ウイルスの動作を解明するのに有効な手法である。(正解)
イ:パターンマッチングでウイルスを検知する方式は、暗号化された文書中のマクロウイルスの動作を解明するのに有効な手法である。
ウ:ファイルのハッシュ値を基にウイルスを検知する方式は、未知のウイルスがどのウイルスの亜種かを特定するのに確実な手法である。
エ:不正な動作からウイルスを検知する方式は、ウイルス名を特定するのに確実な手法である。
ウイルスの調査手法に関する記述【午前2 解説】
要点まとめ
- 結論→ 逆アセンブルはバイナリの動作解析に有効で、新種や難読化された実行コードの解析に適する手法です。
- 根拠→ 逆アセンブルは機械語を人間が読める命令列に変換して振る舞いを追跡できるため、動作やフローを明示的に把握できます。
- 差がつくポイント→ 署名検出・ハッシュ・振る舞い検知は用途が異なり、検出と同定(名前付け)や未知亜種の識別で性能差が出ます。
正解の理由
正解: ア
逆アセンブル(逆向きの機械語解析)は、バイナリコードを命令単位で読み解き、プログラムの制御フローやAPI呼び出し、暗号化/復号の箇所など動作の実態を明らかにできます。新種ウイルスや難読化された実行ファイルは、静的にコードを解析しても挙動が不明確なことが多く、逆アセンブルを行うことで内部ロジックを追跡できるため有効です。したがって「逆アセンブルは新種ウイルスの動作解明に有効である」は適切な記述です。
逆アセンブル(逆向きの機械語解析)は、バイナリコードを命令単位で読み解き、プログラムの制御フローやAPI呼び出し、暗号化/復号の箇所など動作の実態を明らかにできます。新種ウイルスや難読化された実行ファイルは、静的にコードを解析しても挙動が不明確なことが多く、逆アセンブルを行うことで内部ロジックを追跡できるため有効です。したがって「逆アセンブルは新種ウイルスの動作解明に有効である」は適切な記述です。
よくある誤解
- ハッシュ値で同定できると考える誤解:ハッシュはファイルが完全一致するかだけを示し、変種やバイナリの一部変更には無力です。
- 署名検出が暗号化されたマクロに強いと誤認する点:暗号化や難読化されると既知署名は無効化され、展開/復号してからの解析が必要になります。
- 振る舞い検知でウイルス名まで確定できると思う誤解:振る舞い検知は「不審な動作」を検出するが、特定のウイルス名の同定は追加の解析(静的解析や特徴比較)が必要です。
解法ステップ
- 各選択肢のキーワードを確認:「逆アセンブル」「パターンマッチング」「ハッシュ値」「不正な動作」など。
- 手法の目的を区別:静的解析(逆アセンブル、ハッシュ、署名)/動的解析(振る舞い検知)/比較識別(署名、ハッシュ)。
- 「新種」「動作を解明する」「特定する」「検知する」などの表現の違いに注意し、手法がその表現に適合するかを判断する。
- 最終的に、実行コードの動作を直接追うには逆アセンブルが最も適切と判断する。
選択肢別の誤答解説
ア: ア は正解です。逆アセンブルは機械語を命令列に戻すことで制御フローや関数呼び出し、暗号化/復号ルーチンなどを解析し、新種バイナリの動作解明に有効です。静的解析の代表的手法で、動的解析と組み合わせればさらに精度が上がります。
イ: 誤りです。パターンマッチング(署名検出)は既知のバイト列やパターンが一致するかを調べるもので、暗号化・難読化された文書中のマクロはそのままでは一致せず有効ではありません。暗号化マクロは復号・展開後に解析する必要があります。
ウ: 誤りです。ファイルのハッシュ値はファイルが完全一致かどうかを示すだけで、バイナリの一部変更やビルドオプションの差、パッキングにより異なるハッシュになります。未知ウイルスがどの既知ウイルスの亜種かを「確実に」特定する手法ではありません(類似性解析やコード差分解析が必要)。
エ: 誤りです。不正な動作(振る舞い検知)は異常・悪意ある挙動をとらえるのに有効ですが、振る舞いだけで固有のウイルス名を確実に特定するのは難しいです。挙動は複数マルウェアで共通する場合があり、追加の静的特徴やシグネチャ照合が必要です。
補足コラム
- 逆アセンブルは静的解析の一つで、IDA Pro、Ghidra、radare2 などのツールが用いられます。これらは命令列や関数境界、呼び出し先解析を支援します。
- 動的解析(サンドボックス実行)は実行時の振る舞いを観察でき、難読化や自己解凍型の検体に有効ですが、検体が環境判定でサンドボックス回避することもあります。
- 検出技術は目的別に使い分けるのが重要です:署名は高速な既知検出、ハッシュは完全一致チェック、振る舞いは未知検出、逆アセンブルは深い理解と特定に有効です。
FAQ
Q: 逆アセンブルと逆コンパイルは同じですか?
A: 違います。逆アセンブルは機械語をアセンブリ命令に戻すことで、逆コンパイルは高水準言語表現へ復元する試みです。後者はより高度で必ずしも正確に復元できません。
A: 違います。逆アセンブルは機械語をアセンブリ命令に戻すことで、逆コンパイルは高水準言語表現へ復元する試みです。後者はより高度で必ずしも正確に復元できません。
Q: ハッシュが一致すれば亜種を見分けられますか?
A: いいえ。ハッシュは完全一致のみを示すため、わずかな変更でも異なるハッシュになります。亜種の判定にはコード類似度や静的特徴抽出が必要です。
A: いいえ。ハッシュは完全一致のみを示すため、わずかな変更でも異なるハッシュになります。亜種の判定にはコード類似度や静的特徴抽出が必要です。
Q: 振る舞い検知で誤検知を減らす方法は?
A: 複数の振る舞い指標の組合せ、ホワイトリストによる正当プロセス除外、サンドボックスの環境多様化で誤検知を抑えられます。
A: 複数の振る舞い指標の組合せ、ホワイトリストによる正当プロセス除外、サンドボックスの環境多様化で誤検知を抑えられます。
関連キーワード: ウイルス解析、逆アセンブル、リバースエンジニアリング、署名検出、ハッシュ値、振る舞い検知、サンドボックス、マクロウイルス、静的解析、動的解析
\ せっかくなら /
基本情報技術者を
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!