基本情報 平成28年度 春期 問43：テクノロジ系に関する問題

答えは d「メモリ上の仮想環境下で実行して挙動を監視」 です。

ビヘイビア法は「振る舞いチェック（挙動観察）」のこと。

安全な箱庭（サンドボックス）の中でファイルを動かしてみて、「ファイルを勝手に消そうとした」「外部に通信しようとした」など怪しい動きをしたらウイルス判定する方法です。

👉 覚え方：ビヘイビア＝「行動（behavior）」でバレる。

ほかの選択肢：a 完全性チェック（チェックサム比較）／b 原本と直接比較／c ハッシュ値比較（パターンマッチング法）。a〜cは「形」で判定、dだけが「動き」で判定。

なぜこれが正解か

正解は d。ビヘイビア法（behavior method／振る舞い検知法）は、検査対象を仮想環境（サンドボックス／エミュレータ）で実行し、その動的振る舞いを監視してウイルス／マルウェアを判定する方式。未知ウイルス（ゼロデイ）にも対応できるのが最大の特徴。

各選択肢の解説

• a 付加情報と算出情報の比較：インテグリティチェック法（完全性確認）。改ざん検知の手法。
• b 検査対象と原本の比較：コンペア法（比較法）。原本との差分検知。
• c ハッシュ値の比較：パターンマッチング法（シグネチャ法）。既知ウイルス向け定番手法。
• d 仮想環境実行で挙動監視：正解。ビヘイビア法。

覚え方・ひっかけ注意

ウイルス検出4手法を整理：

• パターンマッチング（シグネチャ）：既知ウイルスに高速・確実だが未知に弱い
• チェックサム／インテグリティ：改ざん検知向け
• コンペア：原本との比較
• ビヘイビア（ヒューリスティック）：振る舞いで未知も検出。誤検知あり

「ビヘイビア＝動かして見る／パターンマッチング＝形で照合」で識別。試験ではこの4手法の特徴整理が頻出。

理論的背景

ビヘイビア法は動的解析（dynamic analysis）の代表手法で、ヒューリスティック検知の一形態。サンドボックス内で実行し、システムコール・レジストリアクセス・ネットワーク通信・ファイル操作等を監視。機械学習を組み合わせた次世代アンチウイルス（NGAV）では、これらの振る舞いパターンから悪性度をスコアリングする。対照的に静的解析はコード自体の構造を解析する手法。

実務での使われ方

サンドボックス製品：

• Cuckoo Sandbox（OSS）
• FireEye MVX・Joe Sandbox・VMRay（商用）
• Any.Run（クラウド型）

ビヘイビア法の課題はサンドボックス検知回避：マルウェアが仮想環境を検知すると無害な振る舞いを装う（スリープ攻撃、マウス移動チェック、仮想CPU特徴検知）。対策としてベアメタルサンドボックスや透過的フック技術が発展。EDR（Endpoint Detection and Response）はエンドポイント上で常時振る舞い監視する発展形。

試験での位置づけ

セキュリティ分野の頻出テーマ。基本情報・応用情報では4手法の識別、情報処理安全確保支援士ではシグネチャ／ヒューリスティック／振る舞い／レピュテーションの組み合わせ、MITRE ATT&CKフレームワーク、Threat Huntingまで踏み込む。

選択肢の発展補足

ウイルス検知手法の進化：

• 第1世代：シグネチャ（既知マルウェアハッシュ／文字列照合）
• 第2世代：ヒューリスティック（経験則による推定）
• 第3世代：ビヘイビア／サンドボックス
• 第4世代：機械学習／AI（ファイル特徴量から悪性度予測）
• 第5世代：EDR／XDR（複数センサ統合・脅威ハンティング）

ゼロデイ攻撃・ファイルレスマルウェア・LotL（Living off the Land）攻撃の増加により、シグネチャだけでは不十分でビヘイビア＋AIの組み合わせが必須化。検知後の対応としてSOAR（Security Orchestration, Automation and Response）で自動隔離・調査が標準化。試験で4手法を押さえつつ現代的セキュリティアーキテクチャへの展開も意識すると上位資格対策に直結する。