午前問84
社内のPCでマルウェアが発見された。そのマルウェアが他のPCにも存在するかどうかを調査する方法として、最も適切なものはどれか。
| そのマルウェアと同じアクセス権が設定されているファイルを探す。 | |
| そのマルウェアと同じ拡張子をもつファイルを探す。 | |
| そのマルウェアと同じ所有者のファイルを探す。 | |
| そのマルウェアと同じハッシュ値のファイルを探す。 |
『情報処理過去問.com』からiPhoneアプリがリリースされました!!
正解
- エ
解説
ハッシュ関数は、どんな長さのデータでも入力すると一定長のハッシュ値(メッセージダイジェスト)を返します。主な性質として、同じ入力からは必ず同じ値が得られる決定性、わずかな違いでも結果が大きく変わる雪崩効果、値から元データを逆算しにくい一方向性、異なるデータで同じ値になる可能性が非常に小さい衝突耐性があります。既知のマルウェアのハッシュ値と一致するファイルが見つかれば、そのPCに同一マルウェアがあると判断できます。この方式はコンペア法と呼ばれ、アンチウイルス製品に搭載されています。以上より、同じハッシュ値のファイルを探す方法が最適で、正解は「エ」です。
| ア. | そのマルウェアと同じアクセス権が設定されているファイルを探す。 |
| アクセス権の一致はファイル内容の一致を示さないため、調査方法として適切ではありません。 | |
| イ. | そのマルウェアと同じ拡張子をもつファイルを探す。 |
| 拡張子が同じでも内容は異なり得るため、判定手段として不適切です。 | |
| ウ. | そのマルウェアと同じ所有者のファイルを探す。 |
| 所有者が同じこととマルウェアの同一性は無関係であり、調査方法として不適切です。 | |
| エ. | そのマルウェアと同じハッシュ値のファイルを探す。 |
| ハッシュ値を照合すれば、性質(決定性・雪崩効果・衝突耐性)により同一データかどうかを高精度に見分けられます。コンペア法として用いられる正しい方法です。 |