ネットワークスペシャリスト 2014年 午前2 問20
問題文
ウイルス検知手法の一つであるビヘイビア法を説明したものはどれか。
選択肢
ア:ウイルスの特徴的なコード列が検査対象プログラム内に存在するかどうかを調べて、もし存在していればウイルスとして検知する。
イ:各ファイルに、チェックサム値などウイルスではないことを保証する情報を付加しておき、もし保証する情報が検査対象ファイルに付加されていないか無効ならば、ウイルスとして検知する。
ウ:検査対象ファイルのハッシュ値と、安全な場所に保管してあるその対象の原本のハッシュ値を比較して、もし異なっていればウイルスとして検知する。
エ:検査対象プログラムを動作させてその挙動を観察し、もしウイルスによく見られる行動を起こせばウイルスとして検知する。(正解)
ウイルス検知手法の一つであるビヘイビア法を説明したものはどれか【午前2 解説】
正解の理由
選択肢エは「検査対象プログラムを動作させてその挙動を観察し、もしウイルスによく見られる行動を起こせばウイルスとして検知する」とあり、これはまさにビヘイビア(振る舞い)に基づく検出法の定義です。ビヘイビア法はファイルを実際に実行またはサンドボックスで動かして、ファイルが示す挙動(自己複製、外部への通信、不正なファイル変更など)を検出基準とします。したがってエが正解です。
解法ステップ
- 問題文で「ビヘイビア法(behaviour-based)」の意味を確認する:振る舞い(行動)を基に検出する手法。
- 各選択肢が静的検査か動的検査かを判別する:コード列・ハッシュ・チェックサムは静的、実行して観察するのは動的。
- 動的観察に該当する選択肢を選ぶ:エが動作観察を明示しているため正解と判断する。
選択肢別の誤答解説
- ア: ウイルスの特徴的なコード列を探すのは「シグネチャ(パターン)検出」です。静的手法でありビヘイビア法ではありません。
- イ: 各ファイルにチェックサムや保証情報を付けて改ざんを検知するのは「整合性チェック」や「ホワイトリスト的な保証」で、ビヘイビア法とは別です。
- ウ: ファイルのハッシュ値を保管原本と比較して異なれば改ざんと判定するのは「ハッシュ比較(整合性検査)」であり、こちらも静的検査です。
- エ: 実行して挙動を観察する記述はビヘイビア法の定義そのもので、したがって正解です。
よくある誤解
- 「シグネチャ検出と同じ」と混同する誤解:シグネチャ法は静的にコードのパターンを照合するため、ビヘイビア法とは原理が異なります。
- 「ハッシュやチェックサムもビヘイビアに含まれる」と誤認する点:ハッシュ照合やチェックサムは改ざん検出であり静的検査で、振る舞い監視とは別です。
- 「ビヘイビア法は万能」と思い込む誤解:振る舞い検知は未知の攻撃に有効ですが、正当なソフトの挙動と判別が難しく誤検知(false positive)が生じやすい点を忘れがちです。
補足コラム
ビヘイビア法はサンドボックスやエミュレーターでプログラムを隔離実行し、不正な振る舞い(例:自己複製、重要ファイルの暗号化、未知の外部通信、権限昇格処理など)を検出します。利点は未知のマルウェアにも対応できる点、欠点は実行リソースが必要で誤検知が発生しやすい点です。実務ではシグネチャ法・ヒューリスティック法・ビヘイビア法を組み合わせた多層防御が一般的です。
FAQ
Q: ビヘイビア法はどうやって誤検知を減らすのですか?
A: サンドボックスでの詳細なAPIコールやシステムコールの解析、ホワイトリストとの照合、機械学習による正常振る舞いのモデル化などで誤検知を低減します。
A: サンドボックスでの詳細なAPIコールやシステムコールの解析、ホワイトリストとの照合、機械学習による正常振る舞いのモデル化などで誤検知を低減します。
Q: ビヘイビア法はリアルタイムで使えるのですか?
A: 完全な実行観察は時間やリソースがかかるためリアルタイム保護では軽量な行動ルールや隔離実行と組み合わせて利用されることが多いです。
A: 完全な実行観察は時間やリソースがかかるためリアルタイム保護では軽量な行動ルールや隔離実行と組み合わせて利用されることが多いです。
Q: シグネチャ法と比べてどちらが重要ですか?
A: どちらも重要で用途が補完的です。既知の脅威はシグネチャで素早く検出、未知や亜種にはビヘイビア法が有効です。
A: どちらも重要で用途が補完的です。既知の脅威はシグネチャで素早く検出、未知や亜種にはビヘイビア法が有効です。
関連キーワード: ウイルス検出、ビヘイビア検知、サンドボックス、シグネチャ検出、ハッシュ比較、整合性チェック

\ せっかくなら /
ネットワークスペシャリストを
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!

