基本情報技術者 2014年秋期午前（科目A）問42

問題文

ウイルス対策ソフトのパターンマッチング方式を説明したものはどれか。

選択肢

ア：感染前のファイルと感染後のファイルを比較し、ファイルに変更が加わったかどうかを調べてウイルスを検出する。

イ：既知ウイルスのシグネチャと比較して、ウイルスを検出する。（正解）

ウ：システム内でのウイルスに起因する異常現象を監視することによって、ウイルスを検出する。

エ：ファイルのチェックサムと照合して、ウイルスを検出する。

##: ウイルス対策ソフトのパターンマッチング方式を説明したものはどれか。【午前2 解説】

要点まとめ

結論→パターンマッチング方式は、既知ウイルスのシグネチャ（バイト列やハッシュ）を定義ファイルと照合して既知の脅威を検出する方式です。
根拠→選択肢イは「既知ウイルスのシグネチャと比較して、ウイルスを検出する」と明確に記述しており、パターン（シグネチャ）照合の定義に合致します。
差がつくポイント→「感染前後の比較」「異常監視」「チェックサム」はそれぞれ整合性検査や振る舞い検知であり、シグネチャ照合とは目的と限界が異なる点を押さえてください。

正解の理由

正解: イ
パターンマッチング方式＝シグネチャ（pattern）照合方式です。既知ウイルスごとに抽出された特徴的なバイト列や署名をデータベース（定義ファイル）に持ち、検査対象ファイルやメモリのバイト列と比較して一致すればウイルスと判断します。この動作説明が選択肢イの文言と一致するため、イが正解です。

よくある誤解

「シグネチャ方式は未知のウイルスも高確率で見つけられる」と誤解しやすいですが、基本的に既知のものだけを検出します（ゼロデイには弱い）。
「チェックサム（ハッシュ）照合＝シグネチャ検出」と混同しやすいが、チェックサムはファイル改ざん検出向けで、ウイルス特定のためのパターン照合とは目的が異なります。
「感染前後の差分比較がパターンマッチング」と勘違いするが、これはファイル整合性監視でありパターン照合とは別技術です。

解法ステップ

問題文で鍵となる語を探す：「パターンマッチング方式」「シグネチャ」など。
各選択肢のキーワードで方式を判定：感染前後比較＝整合性チェック、異常現象監視＝振る舞い型/ヒューリスティック、チェックサム＝ハッシュベースの整合性。
「既知ウイルスのシグネチャと比較する」と明示した選択肢を選ぶ（イ）。

選択肢別の誤答解説

ア: 感染前後のファイル比較で変更を検出する方法はファイル整合性監視（FIM）に近く、パターン（シグネチャ）照合とは異なります。
イ: 正解。既知ウイルスのシグネチャと照合して検出する、いわゆるシグネチャ／パターンマッチング方式の定義そのものです。
ウ: システム内での異常現象を監視するのは振る舞い検知やヒューリスティック検出で、未知の攻撃や異常なプロセス挙動を対象にします。
エ: ファイルのチェックサム照合は改ざん検出や整合性確認の技術で、特定のウイルスのバイトパターンを検出するシグネチャ方式とは用途が異なります。

補足コラム

パターンマッチング（シグネチャ）方式の利点は検出精度が高く誤検知が比較的少ない点と高速にスキャンできる点です。一方で欠点は定義ファイル（シグネチャデータベース）の更新が不可欠で、ポリモーフィックや暗号化、ゼロデイ攻撃には弱い点です。そのため最近のアンチウイルス製品はシグネチャ方式に加え、ヒューリスティック検出、振る舞い監視、サンドボックス解析、クラウド照合などを組み合わせて防御層を作っています。YARAルールのようにカスタムパターンで検出精度を高める運用も行われます。

FAQ

Q1: パターンマッチング方式でゼロデイは検出できますか？
A1: 基本的には難しいです。既知のシグネチャがないためで、ゼロデイ対策には振る舞い検知やサンドボックス解析が必要です。

Q2: シグネチャとチェックサム（ハッシュ）はどう違いますか？
A2: シグネチャはウイルス固有のバイト列や特徴を表し検出目的、チェックサムはファイルの改変有無を判定する整合性確認が主用途です。

Q3: シグネチャ方式の運用で重要なことは何ですか？
A3: 定義ファイルの迅速な更新と、他の検出技術（振る舞い検知等）との併用による多層防御が重要です。

関連キーワード: ウイルス対策、シグネチャ、パターンマッチング、ヒューリスティック検出、振る舞い検知、チェックサム、定義ファイル更新、ゼロデイ、ポリモーフィック

← 前の問題へ次の問題へ →

\ せっかくなら /

基本情報技術者を
クイズ形式で学習しませんか？

クイズ画面へ遷移する→

すぐに利用可能！