基本情報技術者 2015年 秋期 午前（科目A） 問43

要点まとめ

• 結論→SHA-256での照合は「バイナリが完全に一致するファイル」だけを確実に検出する、同一ファイル検出法です。
• 根拠→ハッシュはファイルのバイト列を入力に固定長のダイジェストを生成し、同一バイト列なら同一ハッシュが得られます。
• 差がつくポイント→コード列やファイルサイズや亜種ではハッシュが変わるため検出不可、ファジーや挙動分析が差を生みます。

正解の理由

よくある誤解

• 「同じコード列があればハッシュも同じ」と考える誤解：同一のコード列が含まれていてもファイル全体のバイト列が異なればハッシュは一致しません。
• 「ファイルサイズが同じ＝同一」と考える誤解：ファイルサイズの一致は偶然一致する場合が多く、内容一致の証明にはなりません。
• 「ハッシュは絶対に衝突しない」との誤解：SHA-256は衝突が極めて発生しにくいが、理論的に衝突の可能性はゼロではありません（実務上は無視可能）。

解法ステップ

1. 問題文で使われている検査手法（SHA-256でハッシュ値を求め照合）を確認する。
2. SHA-256の性質を思い出す：入力バイト列に依存する固定長のダイジェストを返す。
3. 各選択肢を「ファイル全体のバイト列が一致するかどうか」で評価する。
4. 「完全一致」を要件とする選択肢が正解であると判定する（＝ア）。

選択肢別の誤答解説

• ア: ワーム検体と同一のワーム — 正解。バイナリが完全一致すればSHA-256は一致するため検知可能です。
• イ: ワーム検体と特徴あるコード列が同じワーム — 誤り。部分的なコード一致はファイル全体のハッシュ一致を保障せず、ハッシュ照合では検出できません。
• ウ: ワーム検体とファイルサイズが同じワーム — 誤り。ファイルサイズはメタ情報に過ぎず、内容一致を示さないためハッシュ照合の基準にはなりません。
• エ: ワーム検体の亜種に当たるワーム — 誤り。亜種（修正や難読化を加えられたもの）はバイト列が変わるためSHA-256は一致せず検出できません。

補足コラム

• 実務ではSHA-256などの固定ハッシュは「既知マルウェアの完全一致検出（ホワイト/ブラックリスト）」に有効です。ハッシュ空間は $2^{256}$ に相当するため衝突は極めて稀です。
• ただし亜種や難読化、圧縮、パッキングをされたマルウェアには無力です。これを補う手法として、ファジーハッシュ（ssdeep）やYARAのシグネチャ、サンドボックスによる挙動検知、機械学習ベースの振る舞い分析が用いられます。
• 実例：VirusTotal等ではファイルのSHA-256で既知サンプルとの照合を行い、同時に複数の検出手法で判定精度を高めています。

FAQ