ホーム > 情報処理安全確保支援士試験 > 2011年 春期
情報処理安全確保支援士試験 2011年 春期 午前2 問10
ウイルスの調査手法に関する記述のうち,適切なものはどれか。
ア:逆アセンブルは,バイナリコードの新種ウイルスの動作を解明するのに有効な手法である。(正解)
イ:パターンマッチングでウイルスを検知する方式は,暗号化された文書中のマクロウイルスの動作を解明するのに有効な手法である。
ウ:ファイルのハッシュ値を基にウイルスを検知する方式は,ウイルスのハッシュ値からどのウイルスの亜種かを特定するのに確実な手法である。
エ:不正な動作からウイルスを検知する方式は,ウイルス名を特定するのに確実な手法である。
解説
ウイルスの調査手法に関する問題【午前2 解説】
要点まとめ
- 結論:逆アセンブルはバイナリコードの新種ウイルスの動作解析に有効な手法です。
- 根拠:逆アセンブルは機械語を人間が理解できるアセンブリ言語に変換し、動作の詳細を把握できます。
- 差がつくポイント:暗号化や亜種判別、ウイルス名特定にはそれぞれ適した別の手法が必要であり、万能ではありません。
正解の理由
選択肢アは「逆アセンブルはバイナリコードの新種ウイルスの動作を解明するのに有効」と述べています。逆アセンブルは機械語のバイナリをアセンブリ言語に変換し、プログラムの動作を詳細に解析できるため、新種ウイルスの動作理解に適しています。これにより、未知のウイルスの挙動や感染経路を把握しやすくなります。
よくある誤解
パターンマッチングやハッシュ値による検知は既知ウイルスの識別に強いですが、新種や暗号化されたウイルスの動作解析には不向きです。動作検知もウイルス名特定には確実ではありません。
解法ステップ
- 各選択肢の手法の特徴を理解する。
- 逆アセンブルはバイナリ解析に使うことを確認。
- パターンマッチングは既知のウイルス検出に使うことを理解。
- ハッシュ値はファイルの同一性判定に使うが亜種判別は難しいことを知る。
- 動作検知は不正動作を検出するがウイルス名特定はできないことを把握。
- 以上から最も適切な選択肢を選ぶ。
選択肢別の誤答解説
- ア: 逆アセンブルは新種ウイルスの動作解析に有効で正解。
- イ: パターンマッチングは暗号化されたマクロウイルスの動作解明には不向き。暗号化でパターンが変わるため検出困難。
- ウ: ハッシュ値はファイルの同一性確認には有効だが、亜種はわずかな変更でハッシュが変わるため確実な判別はできない。
- エ: 不正動作検知はウイルスの存在を示すが、ウイルス名の特定には追加解析が必要で確実ではない。
補足コラム
逆アセンブルはリバースエンジニアリングの基本技術であり、ウイルス解析だけでなくソフトウェアの脆弱性調査にも用いられます。一方、パターンマッチングはシグネチャベース検知としてアンチウイルスソフトの基本技術です。近年は動作検知や機械学習を組み合わせた多層防御が主流となっています。
FAQ
Q: 逆アセンブルとデコンパイルの違いは何ですか?
A: 逆アセンブルは機械語をアセンブリ言語に変換し、デコンパイルは高水準言語に近い形に変換します。逆アセンブルの方が低レベル解析に適しています。
A: 逆アセンブルは機械語をアセンブリ言語に変換し、デコンパイルは高水準言語に近い形に変換します。逆アセンブルの方が低レベル解析に適しています。
Q: 暗号化されたウイルスはどうやって検出しますか?
A: 動作検知やヒューリスティック解析、サンドボックス実行による挙動観察が有効です。単純なパターンマッチングは効果が薄いです。
A: 動作検知やヒューリスティック解析、サンドボックス実行による挙動観察が有効です。単純なパターンマッチングは効果が薄いです。
関連キーワード: 逆アセンブル, パターンマッチング, ハッシュ値検知, 動作検知, ウイルス解析, マルウェア調査