【ネットワークスペシャリスト試験令和6年度春期午前Ⅱ 問20】

ネットワークスペシャリスト試験令和6年度春期午前Ⅱ 問20

マルウェアの検出手法であるビヘイビア法を説明したものはどれか。

ア　あらかじめ特徴的なコードをパターンとして登録したマルウェア定義ファイルを用いてマルウェア検査対象を検査し、同じパターンがあればマルウェアとして検出する。
イ　マルウェアに感染していないことを保証する情報をあらかじめ検査対象に付加しておき、検査時に不整合があればマルウェアとして検出する。
ウ　マルウェアへの感染が疑わしい検査対象のハッシュ値と、安全な場所に保管されている原本のハッシュ値を比較し、マルウェアを検出する。
エ　マルウェアへの感染によって生じるデータの読込みの動作、書込みの動作、通信などを監視して、マルウェアを検出する。

エ　マルウェアへの感染によって生じるデータの読込みの動作、書込みの動作、通信などを監視して、マルウェアを検出する。

ビヘイビア法（Behavior method）とは、アンチウイルスソフトなどのセキュリティ対策において、プログラムやファイルの「振る舞い（ビヘイビア）」を実際に監視し、不審な動作や異常な挙動を検出することでマルウェアやウイルスを発見する手法です。
従来のパターンマッチング方式（既知のウイルスを特徴的なコードで検出する方法）と異なり、ビヘイビア法は未知のウイルスや改変された亜種、静的ヒューリスティック法では検知が難しいミューテーション型（ポリモーフィック型）のウイルスにも対応できる点が特徴です。

主な特徴と仕組み
- プログラムの実際の動作を監視
  対象となるプログラムやファイルを隔離された仮想環境（サンドボックス）や実際の環境で実行し、その挙動を観察します。
- 異常な動作を検出
  レジストリの改ざん、システムファイルの変更、ファイルの書き込み・複製・破壊、外部への通信、通信量やエラー量の異常増加など、マルウェアが行いがちな不審な動作を検出します。
- 未知の脅威にも対応
  既知のウイルスだけでなく、新種や亜種、未知のマルウェアも検知可能です。
メリット・デメリット
- メリット
  - 未知のマルウェアにも対応できる
  - 怪しい挙動を直接検出できる
  - 仮想環境で実行するため、実際のシステムへの被害を防げる
- デメリット
  - プログラムを実行するためシステムへの負荷が大きい
  - 誤検知（正常な動作を異常と判定）の可能性もある
  - 仮想環境の準備や運用に手間がかかる

その他の選択肢は以下のとおりです。

「ア　あらかじめ特徴的なコードをパターンとして登録したマルウェア定義ファイルを用いてマルウェア検査対象を検査し、同じパターンがあればマルウェアとして検出する。」
これは、パターンマッチング方式（シグネチャ法）のことで、特徴的なコード（マルウェアシグネチャ）を使って一致するかどうかを検査します。
主に既知のマルウェアに有効で、新種・亜種には対応が遅れがちです。
「イ　マルウェアに感染していないことを保証する情報をあらかじめ検査対象に付加しておき、検査時に不整合があればマルウェアとして検出する。」
これは、ホワイトリスト方式に近い発想であり、検査対象が正常な状態であることを前提としてチェックする方式です。
信頼されたソフトウェアやファイルに「印（署名など）」を付けておき、不整合があれば検出します。
「ウ　マルウェアへの感染が疑わしい検査対象のハッシュ値と、安全な場所に保管されている原本のハッシュ値を比較し、マルウェアを検出する。」
これは、ハッシュ値比較による改ざん検出であり、原本と対象のハッシュ値を比較して、ファイルの改ざん＝マルウェア感染を検出します。
主に整合性検証に使われます（改ざん検知ツールなど）。