戦国IT

情報処理技術者試験の無料過去問対策サイト

ホーム > 情報処理安全確保支援士試験 > 2021年 春期

情報処理安全確保支援士試験 2021年 春期 午前213

マルウェアの検出手法であるビヘイビア法を説明したものはどれか。
あらかじめ特徴的なコードをパターンとして登録したマルウェア定義ファイルを用いてマルウェア検査対象と比較し、同じパターンがあればマルウェアとして検出する。
マルウェアに感染していないことを保証する情報をあらかじめ検査対象に付加しておき、検査時に不整合があればマルウェアとして検出する。
マルウェアの感染が疑わしい検査対象のハッシュ値と、安全な場所に保管されている原本のハッシュ値を比較し、マルウェアを検出する。
マルウェアの感染や発病によって生じるデータの読込みの動作、書込みの動作、通信などを監視してマルウェアを検出する。(正解)

解説

マルウェアの検出手法であるビヘイビア法を説明したものはどれか【午前2 解説】

要点まとめ

  • 結論:ビヘイビア法はマルウェアの動作(振る舞い)を監視して検出する手法です。
  • 根拠:コードのパターンではなく、実際の動作に着目するため未知のマルウェアにも対応可能です。
  • 差がつくポイント:パターンマッチングとの違いを理解し、動作監視の具体例を押さえることが重要です。

正解の理由

選択肢エは「データの読み込み、書き込み、通信などの動作を監視してマルウェアを検出する」とあり、これはビヘイビア法の本質を正確に表しています。ビヘイビア法はマルウェアの特徴的な振る舞いを検知するため、未知のマルウェアや亜種にも対応しやすいのが特徴です。これに対し、他の選択肢はパターンマッチングやハッシュ値比較など、ビヘイビア法とは異なる検出手法を説明しています。

よくある誤解

ビヘイビア法は単なるパターンマッチングではなく、動作監視による検出手法です。コードの特徴だけで判断する方法と混同しやすい点に注意しましょう。

解法ステップ

  1. 問題文の「ビヘイビア法」の意味を確認する。
  2. 各選択肢の説明が「動作監視」か「コードパターン」かを判別する。
  3. 動作監視を説明している選択肢を特定する。
  4. 動作監視を説明している選択肢エを正解と判断する。

選択肢別の誤答解説

  • ア:マルウェア定義ファイルのパターンマッチング法であり、シグネチャ法と呼ばれビヘイビア法ではありません。
  • イ:検査対象に付加した情報の不整合を検出する方法で、ビヘイビア法とは異なります。
  • ウ:ハッシュ値比較による検出で、ファイルの改ざん検知に近くビヘイビア法ではありません。
  • :動作監視による検出で、ビヘイビア法の説明として正しいです。

補足コラム

ビヘイビア法は未知のマルウェアや亜種の検出に強みがありますが、誤検知(誤って正常な動作をマルウェアと判断すること)が起こりやすい点が課題です。近年はシグネチャ法とビヘイビア法を組み合わせた多層防御が主流となっています。

FAQ

Q: ビヘイビア法はどんなマルウェアに有効ですか?
A: 未知のマルウェアや亜種の検出に有効で、動作の異常を監視して検出します。
Q: シグネチャ法とビヘイビア法の違いは何ですか?
A: シグネチャ法は既知のコードパターンを検出し、ビヘイビア法はマルウェアの動作を監視して検出します。
関連キーワード: マルウェア検出, ビヘイビア法, シグネチャ法, 動作監視, セキュリティ対策
← 前の問題へ次の問題へ →

©︎2025 情報処理技術者試験対策アプリ