ビヘイビア法|情報処理安全確保支援士試験 令和3年 春期午前Ⅱ試験 問13

出典:令和3年春期 午前Ⅱ 問13 分野:セキュリティ / 情報セキュリティ対策
マルウェアの検出手法であるビヘイビア法を説明したものはどれか。
  • ア:あらかじめ特徴的なコードをパターンとして登録したマルウェア定義ファイルを用いてマルウェア検査対象と比較し,同じパターンがあればマルウェアとして検出する。
  • イ:マルウェアに感染していないことを保証する情報をあらかじめ検査対象に付加しておき,検査時に不整合があればマルウェアとして検出する。
  • ウ:マルウェアの感染が疑わしい検査対象のハッシュ値と,安全な場所に保管されている原本のハッシュ値を比較し,マルウェアとして検出する。
  • エ:マルウェアの感染や発病によって生じるデータ読込みの動作,書込み動作,通信などを監視して,マルウェアとして検出する。
解説

ビヘイビア法は、プログラムを実際に動かして、その動きを監視するマルウェア検出手法です。

behaviorは「振る舞い」という意味です。つまり、ファイルの見た目やコードの一部だけで判断するのではなく、「実際にどのような行動をするか」を見て判断します。

たとえば、ファイルを勝手に書き換える、自己複製する、重要なデータを削除する、不審な通信を行うなどの動きがあれば、マルウェアの可能性があると判定します。

ビヘイビア法 他の検出手法とあわせて押さえておきましょう。
検出手法 特徴
ビヘイビア法 プログラムを実際に動かし、不正な振る舞いがないか監視する
コンペア法 安全な原本ファイルと検査対象ファイルを比較し、違いがあれば異常と判断する
パターンマッチング法 既知のマルウェアに特徴的なコードパターンと一致するか確認する
チェックサム法 チェックサムやデジタル署名を使い、ファイルが改ざんされていないか確認する
ヒューリスティック法 マルウェアが行いそうな動作パターンをもとに、怪しいコードを検出する

ビヘイビア法の特徴は、未知のマルウェアでも検出できる可能性がある点です。まだ登録されていないマルウェアでも、危険な動きをすれば検出できる場合があります。

一方、パターンマッチング法は、既知のマルウェアには強いですが、まだパターンが登録されていない新しいマルウェアは見逃すことがあります。

つまりビヘイビア法は、「プログラムの実際の振る舞いを見て、危険な動きをしていないか判断する方法」と考えると分かりやすいです。

したがって、が適切です。

❌他選択肢が誤りの理由
ア:あらかじめ特徴的なコードをパターンとして登録したマルウェア定義ファイルを用いてマルウェア検査対象と比較し,同じパターンがあればマルウェアとして検出する。
⇒パターンマッチング法、又はシグネチャ法の説明です。既知のマルウェアに特徴的なコード列と照合して検出する方式であり、実行時の動作を監視するビヘイビア法とは異なります。
イ:マルウェアに感染していないことを保証する情報をあらかじめ検査対象に付加しておき,検査時に不整合があればマルウェアとして検出する。
⇒チェックサムや改ざん検知情報を用いる方式に関する説明です。あらかじめ付加した情報との整合性を確認する考え方であり、データ読込みや通信などの振る舞いを監視するビヘイビア法ではありません。
ウ:マルウェアの感染が疑わしい検査対象のハッシュ値と,安全な場所に保管されている原本のハッシュ値を比較し,マルウェアとして検出する。
⇒ハッシュ値による改ざん検知の説明です。原本と検査対象のハッシュ値を比較して変更の有無を確認する方式であり、マルウェアの動作そのものを監視して検出するビヘイビア法とは異なります。
TSUNAGARU-ADVICE

まず押さえたいこと

ビヘイビア法は、プログラムの振る舞いを監視してマルウェアを検出する手法です。感染や発病によって生じるデータの読込み、書込み、外部との通信などを見て、不審な動作をマルウェアとして検出する点が特徴です。

迷ったときの判断軸

マルウェア定義ファイルと比較するのはパターンマッチング方式です。保証情報の不整合や原本のハッシュ値との比較は、改ざん検知に近い考え方です。ビヘイビア法は、コードの形ではなく、実行時の動作を見ると判断しましょう。

科目Bにつなげるために

科目Bでは、未知のマルウェアや亜種への対応として、どの検出手法が有効かを問われることがあります。ビヘイビア法は、既知の特徴コードがなくても、不審なファイル操作や通信などの振る舞いから検知できる可能性がある方法として整理しておきましょう。