ネットワークスペシャリスト 2024年 午前2 問20
問題文
マルウェアの検出手法であるビヘイビア法を説明したものはどれか。
選択肢
ア:あらかじめ特徴的なコードをパターンとして登録したマルウェア定義ファイルを用いてマルウェア検査対象を検査し、同じパターンがあればマルウェアとして検出する。
イ:マルウェアに感染していないことを保証する情報をあらかじめ検査対象に付加しておき、検査時に不整合があればマルウェアとして検出する。
ウ:マルウェアへの感染が疑わしい検査対象のハッシュ値と、安全な場所に保管されている原本のハッシュ値を比較し、マルウェアを検出する。
エ:マルウェアへの感染によって生じるデータの読込みの動作、書込みの動作、通信などを監視して、マルウェアを検出する。(正解)
マルウェアの検出手法であるビヘイビア法【午前2 解説】
要点まとめ
- 結論:ビヘイビア法はマルウェアの動作(振る舞い)を監視し、不審な動きを検出する手法です。
- 根拠:コードのパターンではなく、実際の動作に注目するため未知のマルウェアにも対応可能です。
- 差がつくポイント:パターンマッチングとの違いを理解し、動作監視の具体例(読み書きや通信)を押さえることが重要です。
正解の理由
選択肢エは「マルウェアへの感染によって生じるデータの読み込み、書き込み、通信などの動作を監視して検出する」とあり、これはビヘイビア法の本質を正確に表しています。ビヘイビア法はマルウェアの特徴的な動作パターンを監視し、異常な振る舞いを検知するため、未知のマルウェアにも対応可能です。
よくある誤解
ビヘイビア法はコードのパターンを使うパターンマッチング法と混同されやすいですが、動作監視に基づく点が異なります。ハッシュ値比較や付加情報の検査は別の検出手法です。
解法ステップ
- 問題文の「ビヘイビア法」の意味を確認する。
- 選択肢の説明が「動作の監視」に関するものかを見極める。
- コードパターンやハッシュ値比較はビヘイビア法ではないと判断する。
- 動作監視を説明している選択肢を正解とする。
選択肢別の誤答解説
- ア:パターンマッチング法の説明で、ビヘイビア法ではありません。
- イ:付加情報の不整合検査はホワイトリスト的な手法であり、ビヘイビア法とは異なります。
- ウ:ハッシュ値比較はファイルの改ざん検知に使われ、動作監視ではありません。
- エ:動作監視による検出であり、ビヘイビア法の正しい説明です。
補足コラム
ビヘイビア法は未知のマルウェアや亜種の検出に強みがありますが、誤検知(誤って正常な動作をマルウェアと判断すること)が起こりやすいため、他の検出手法と組み合わせて使われることが多いです。
FAQ
Q: ビヘイビア法は既知のマルウェアだけを検出できますか?
A: いいえ、動作に基づくため未知のマルウェアも検出可能です。
A: いいえ、動作に基づくため未知のマルウェアも検出可能です。
Q: パターンマッチング法とビヘイビア法の違いは何ですか?
A: パターンマッチングは既知のコードパターンを検出し、ビヘイビア法は動作の異常を監視します。
A: パターンマッチングは既知のコードパターンを検出し、ビヘイビア法は動作の異常を監視します。
関連キーワード: マルウェア検出、ビヘイビア法、動作監視、パターンマッチング、セキュリティ対策
\ せっかくなら /
ネットワークスペシャリストを
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!