基本情報 平成27年度 秋期 問43：テクノロジ系に関する問題

答えは b「ハッシュ値を保管して比較」 です。

ハッシュ値は「ファイルの指紋」みたいなもの。中身が1文字でも変わると指紋がガラッと変わります。あらかじめ正しい指紋を控えておけば、定期的に取り直して見比べるだけで「誰かが書き換えた！」と一発でバレます。

👉 覚え方：改ざん検知＝指紋（ハッシュ）チェック。

ほかの選択肢：a 更新日＝攻撃者は日付も書き換えられるからアテにならない／c メモリ使用率＝サーバが落ちてないかの話で改ざん検知じゃない／d 通信監視＝外からの侵入を見るだけで、中身が変わったかは分からない。

なぜこれが正解か

正解は b。ハッシュ関数（SHA-256等）はファイル内容のわずかな変化で出力値が大きく変わる雪崩効果を持つため、保管しておいた基準値と最新ハッシュ値を比較するだけで改ざんを高確度で検知できる。Tripwire等のファイル完全性監視ツール（FIM）が採用する標準手法。

各選択肢の解説

• a 更新日の比較：攻撃者がtouchコマンド等でタイムスタンプを偽装可能。検知精度が低い。
• b ハッシュ値の比較：正解。改ざん検知の定石。
• c メモリ使用率の確認：これはバッファオーバフロー兆候の監視であって、コンテンツ改ざん検知ではない。
• d HTTP/HTTPS以外の通信遮断：外部からの不正アクセス検知の話で、改ざん有無は分からない。

覚え方・ひっかけ注意

「改ざん検知＝ハッシュ／侵入検知＝通信監視／可用性監視＝リソース監視」と目的別に整理。aの更新日は一見もっともらしいが、書き換え可能なので不正解にされる典型ひっかけ。

理論的背景

ハッシュ関数は (1)一方向性（入力を出力から逆算できない）、(2)第二原像困難性（同じハッシュを持つ別データを作れない）、(3)衝突困難性（衝突する2データを発見できない）の3性質を持つ。改ざん検知に必要なのは(2)で、これが壊れているMD5・SHA-1は2020年代以降は非推奨。FIM用途ではSHA-256以上が標準。

実務での使われ方

ファイル完全性監視（FIM, File Integrity Monitoring）はPCI DSS要件11.5で必須化されている。代表ツールはTripwire、AIDE、OSSEC、Wazuh。基準ハッシュ（ベースライン）は読み取り専用領域に保管し、定期スキャンで差分検出→SIEM連携で即時アラート、というのが定石。Webサーバ改ざんはマルウェア配布やSEOポイズニングの踏み台にされるため、検知の即時性が重要。

試験での位置づけ

基本情報・応用情報の頻出テーマ。「ハッシュ用途3パターン」＝（1）改ざん検知（FIM）（2）パスワード保存（saltと共にハッシュ化）（3）電子署名の対象、を整理しておくと得点源。情報処理安全確保支援士ではHMAC・ハッシュチェーン・MerkleTreeまで踏み込んだ出題もある。

選択肢の発展補足

cのバッファオーバフローはSANS TOP25にも入る重大脆弱性で、対策はASLR・DEP・StackGuard等のメモリ保護機構。dのプロトコル制限はファイアウォール／IDS/IPSの守備範囲で、改ざん検知層とは別レイヤ。多層防御（Defense in Depth）として「境界防御＋ホスト完全性監視＋ログ監査」を組み合わせるのが現代のセキュリティアーキテクチャ。