閉じる

予想問題vol.5 問14

問14

ワームの検知方式の一つとして,検査対象のファイルからSHA-256を使ってハッシュ値を求め,既知のワーム検体ファイルのハッシュ値のデータベースと照合することによって,検知できるものはどれか。
  • ワーム検体と同一のワーム
  • ワーム検体と特徴あるコード列が同じワーム
  • ワーム検体とファイルサイズが同じワーム
  • ワーム検体の亜種に当たるワーム

分類 :

テクノロジ系 » セキュリティ » 情報セキュリティ対策

正解 :

解説 :

設問のウイルス検出方式は「コンペア法」と呼ばれ、検査対象ファイルのハッシュ値と、安全な場所に保管してあるその対象の原本のハッシュ値を比較して、もし異なっていればウイルスとして判断します。

ウイルス検体のハッシュの生成に使用されるハッシュ関数は、任意の長さの入力データに対して固定長のビット列(ハッシュ値,メッセージダイジェスト)を返す関数で、次のような特徴を持っています。
決定性
入力データが同じであれば、常に同じハッシュ値が生成される
雪崩効果
入力データが少しでも異なっていれば生成されるハッシュ値は大きく異なったものになる
一方向性(原像計算困難性)
ハッシュ値から元の入力データを割り出すことが計算量的に難しい
衝突耐性
異なる入力データから同じハッシュ値が生成される可能性が極めて低い
これらの特徴から検査対象が既知のワーム検体ファイルと同一であればハッシュ値が同じになりウイルスと判定されますが、それ以外のケースではハッシュ値が異なったものになるため検出することは困難になります。

したがって「ア」が正解です。
SHA-256(Secure Hash Algorithm 256)
入力データから256ビットのハッシュ値を生成するハッシュ関数

出典


Pagetop