平成30年度 秋期 ITパスポート試験 公開問題 問84 解説 マルウェアの検知

この問題は、ファイルの同一性を判断するための最も確実な手法を選べるかがポイントです。ファイル名や拡張子は変更が容易であるため、ファイルの内容をデジタル指紋のように表す「ハッシュ値」を照合するのが正解となります。

ハッシュ値とは、あるデータから一定の計算手順（ハッシュ関数）によって算出される固有の固定長の値です。元のデータが1ビットでも異なれば算出されるハッシュ値は大きく変わるため、ファイルがコピーされたものか、あるいは改ざんされていないかを判定する際に用いられます。

マルウェア調査においては、発見されたマルウェアのハッシュ値を算出し、社内の他のPCにある全ファイルのハッシュ値と比較することで、同じマルウェアが潜伏していないかを正確に特定できます。

これに対して、他の選択肢が不適切な理由は以下の通りです。

・ファイル名や拡張子：これらは攻撃者が簡単に変更できるため、名前が違っても中身が同じマルウェアである可能性があります。これらだけで判断すると、調査漏れが発生します。 ・アクセス権や所有者：これらはOSの管理情報であり、ファイルそのものの内容とは無関係です。同じアクセス権を持つファイルはシステム内に数多く存在するため、調査の手がかりにはなりません。

ハッシュ値という概念は、セキュリティ対策以外にも「データの完全性」を保証するために幅広く使われています。たとえば、インターネットからソフトウェアをダウンロードする際に、配布元のサイトに記載されたハッシュ値と、手元のファイルのハッシュ値を比較することで、ダウンロード中にファイルが破損したり、悪意ある第三者によって改ざんされたりしていないかを確認できます。

ITパスポート試験では、ハッシュ関数は「不可逆性（ハッシュ値から元のデータを復元できないこと）」という性質とセットで問われることも多いです。情報漏えいを防ぐためのパスワード保存や、電子署名の仕組みでもハッシュ関数が活用されているため、セットで覚えておくと得点源になります。

• JPCERTコーディネーションセンター：マルウェア感染時の対応ガイド