ネットワークスペシャリスト 2017年 午前2 問16
問題文
ウイルスの検出手法であるビヘイビア法を説明したものはどれか。
選択肢
ア:あらかじめ特徴的なコードをパターンとして登録したウイルス定義ファイルを用いてウイルス検査対象と比較し、同じパターンがあれば感染を検出する。
イ:ウイルスに感染していないことを保証する情報をあらかじめ検査対象に付加しておき、検査時に不整合があれば感染を検出する。
ウ:ウイルスの感染が疑わしい検査対象を、安全な場所に保管されている原本と比較し、異なっていれば感染を検出する。
エ:ウイルスの感染や発病によって生じるデータの読込みと書込み動作や通信などを監視して、感染を検出する。(正解)
ウイルスの検出手法「ビヘイビア法」【午前2 解説】
正解の理由
選択肢エは「データの読み込み・書き込み動作や通信などを監視して感染を検出する」と説明しており、これはまさにビヘイビア(挙動)検知の定義です。既知のコードパターンに依存せず、プロセスの振る舞いやシステムコール、ネットワーク通信の異常などを基に感染を判断します。したがって正解はエです。
解法ステップ
- 問題文のキーワードを確認:「読み込み」「書き込み」「通信」「監視」「発病によって生じる動作」など挙動に関する表現を探す。
- 各選択肢を分類:シグネチャ照合、原本保証、ファイル比較、挙動監視のどれかに当てはめる。
- ビヘイビア=挙動監視であることを踏まえ、該当する選択肢を選択する。
- 正誤確定:エが挙動監視に一致するため正解。
選択肢別の誤答解説
- ア:これはシグネチャ法(パターン照合)です。既知ウイルスの定義ファイルと比較して検出するため、ビヘイビア法ではありません。
- イ:検査対象に「感染していないことを保証する情報を付加する」手法はハッシュやデジタル署名による整合性検査やホワイトリスト的手法に近く、ビヘイビア法とは異なります。
- ウ:原本と比較して異なれば感染と判定するのはホワイトリスト/整合性チェックや差分検査の手法であり、挙動監視とは別です。
- エ:正解。実行時の読み書きや通信など動作を監視して異常を検出するため、ビヘイビア法の説明に合致します。
よくある誤解
- 「パターン=ビヘイビア」と混同する誤解:シグネチャ法はコード特徴の一致を見ますが、ビヘイビア法は実行時の振る舞いを見ます。目的と検出対象が異なります。
- 「原本比較もビヘイビアだ」と勘違い:原本比較はファイル改ざんを検出する手法であり、挙動監視とは性質が違います。
- 「ビヘイビア法で誤検知がない」と思う誤解:正常なソフトの挙動と類似する場合、誤検知(False Positive)が発生しやすく、チューニングが必要です。
補足コラム
- ビヘイビア法の利点:未知のマルウェアや亜種の検出に強く、実行時の悪意ある動作(例:不審なプロセスが外部へ大量送信)を検出できます。
- 欠点:正常アプリの挙動と類似する場合の誤検知や、監視による性能低下、検出ポリシーのチューニングが必要です。多くの商用EDR(Endpoint Detection and Response)や動的解析ツールはビヘイビア検知を利用しています。
- 実務での活用:シグネチャ法とビヘイビア法を組み合わせることで既知・未知双方への防御効果を高めます。
FAQ
Q1: ビヘイビア法はリアルタイムで動きますか?
A1: 多くはリアルタイム監視を行いますが、挙動を収集して後で解析する遅延型のものもあります。用途によって使い分けます。
A1: 多くはリアルタイム監視を行いますが、挙動を収集して後で解析する遅延型のものもあります。用途によって使い分けます。
Q2: ビヘイビア法は必ず未知マルウェアを検出できますか?
A2: いいえ。未知マルウェアでも検出できる可能性は高いですが、巧妙に振る舞いを隠す(ステルス)手法には検出が難しい場合があります。
A2: いいえ。未知マルウェアでも検出できる可能性は高いですが、巧妙に振る舞いを隠す(ステルス)手法には検出が難しい場合があります。
Q3: シグネチャ法と比べて誤検知は多いですか?
A3: 一般に誤検知は増える傾向があります。ポリシー設計や正常行動のホワイトリスト化で改善します。
A3: 一般に誤検知は増える傾向があります。ポリシー設計や正常行動のホワイトリスト化で改善します。
関連キーワード: ビヘイビア検知、シグネチャ法、EDR、マルウェア検出、ウイルス対策、動的解析、振る舞い分析、侵入検知
正解: エ

\ せっかくなら /
ネットワークスペシャリストを
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!

