セキュリティ

ITパスポート試験情報セキュリティ対策・実装技術」の問題

テクノロジ系セキュリティ難易度:normal
社内のPCでマルウェアが発見された。そのマルウェアが他のPCにも存在するかどうかを調査する方法として,最も適切なものはどれか。
そのマルウェアと同じアクセス権が設定されているファイルを探す。
そのマルウェアと同じ拡張子をもつファイルを探す。
そのマルウェアと同じ所有者のファイルを探す。
そのマルウェアと同じハッシュ値のファイルを探す。
正解
そのマルウェアと同じハッシュ値のファイルを探す。

SHA-256などのハッシュ関数はファイルの内容から固定長のダイジェスト値を算出する。内容が1ビットでも違えば全く異なるハッシュ値になるため、同じハッシュ値=同一ファイルを高精度に判定できる。アンチウイルスソフトはこの性質を利用し、既知マルウェアのハッシュ値データベースとファイルのハッシュ値を照合する(コンペア法)。また改ざん検知の文脈では、ハッシュ値を監視してファイルの変化を検出するFIM(File Integrity Monitoring:ファイル整合性監視)が用いられる。

?選択肢ごとの解説

ア ×アクセス権はファイルへの読み書き実行許可の設定であり、内容の同一性とは無関係。同じアクセス権でも内容は全く別のファイルが無数に存在する。
イ ×拡張子はファイルの種類を示す名称上の識別子に過ぎず、攻撃者は拡張子を偽装・変更することが容易である。同じ拡張子でもマルウェアとは異なる正常ファイルが大量にある。
ウ ×所有者とはOSが記録するファイルの作成者・管理者アカウントであり、ファイルの内容とは独立した属性である。マルウェアが他のユーザーアカウントに感染した場合には所有…
エ ○SHA-256などのハッシュ関数はファイルの内容から固定長のダイジェスト値を算出する。内容が1ビットでも違えば全く異なるハッシュ値になるため、同じハッシュ値=同一ファイルを高精度に判定できる。アンチウイルスソフトはこの性質を利用し、既知マルウェアのハッシュ値データベースとファイルのハッシュ値を照合する(コンペア法)。また改ざん検知の文脈では、ハッシュ値を監視してファイルの変化を検出するFIM(File Integrity Monitoring:ファイル整合性監視)が用いられる。
この問題の「深掘り・誤答の完全解説・試験のコツ・覚え方」はアプリで。

ITパスポート試験の全問を、一問ごとにAIの8-ways解説つきで。SRS暗記カード・全真模試・弱点診断まで。まずは無料で。

無料ではじめる →

ukamiru 過去問 · ITパスポート試験 · itpass-h30a-q84

【ITパスポート試験】情報セキュリティ対策・実装技術の問題と解答・解説|ukamiru 過去問