情報セキュリティマネジメント平成30年春期 午前問16

午前問16

ワームの検知方式の一つとして,検査対象のファイルからSHA-256を使ってハッシュ値を求め,既知のワーム検体ファイルのハッシュ値のデータベースと照合する方式がある。この方式によって,検知できるものはどれか。
  • ワーム検体と同一のワーム
  • ワーム検体と特徴あるコード列が同じワーム
  • ワーム検体とファイルサイズが同じワーム
  • ワーム検体の亜種に当たるワーム
  • [出題歴]
  • 基本情報技術者 H27秋期 問43

分類

テクノロジ系 » セキュリティ » 情報セキュリティ対策

正解

解説

SHA-256は、入力データから256ビットのハッシュ値を生成するハッシュ関数です。ハッシュ関数は、任意の長さの入力データに対して固定長のビット列(ハッシュ値、メッセージダイジェスト)を返す関数で、次のような特徴を持っています。
  1. 入力データが同じであれば、常に同じメッセージダイジェストが生成される。
  2. 入力データが少しでも異なっていれば生成されるメッセージダイジェストは大きく異なったものになる。
  3. メッセージダイジェストから元の入力データを再現することが困難である。
  4. 異なる入力データから同じメッセージダイジェストが生成される可能性が非常に低い。
これらの特徴から、検査対象のファイルのハッシュ値が既知のワーム検体ファイルのハッシュ値と同一であれば、検査対象のファイルとワーム検体ファイルは同一と判定することができます。しかし、ファイルの一部でも異なっていれば生成されるハッシュ値は大きく異なることになるため、それ以外のケースについてはハッシュ値によって検知することはできません。
  • 正しい。ハッシュ値による検知では、ハッシュ値が同じになるワーム検体と同一のワームしか検知できません。
  • ファイルの一部が同じであっても、生成されるハッシュ値は異なったものになるので検知できません。
  • ファイルサイズが同じでも、ファイルの内容が異なればハッシュ値は異なったものになるので検知できません。
  • 亜種はワーム検体から変異したものでファイル内容の一部が変わっています。ファイル内容の一部でも変わると、生成されるハッシュ値は異なったものになるので検知できません。
© 2015-2022 情報セキュリティマネジメント試験ドットコム All Rights Reserved.

Pagetop