対象試験と出題頻度
ビヘイビア法(振る舞い検知)は、情報セキュリティマネジメント・基本情報技術者・応用情報技術者で出題されるテーマです。
マルウェア検出手法の比較問題として定番化しており、「パターンマッチング法」「コンペア法」「チェックサム法」との違いを正確に区別できるかが問われます。
H28秋期 基本情報 午前問43、R6年度 情報セキュリティマネジメント 科目A 問3など、複数の試験区分で繰り返し出題されています。
詳細をクリックして確認
情報セキュリティマネジメント
基本情報技術者
応用情報技術者
★★★☆☆
ランクC(応用)余裕があれば覚える
用語の定義
ビヘイビア法(振る舞い検知)とは、一言で言うと
「プログラムを実際に動作させ、その挙動を監視して不審な動きがあればマルウェアと判定する検出手法」
のことです。
イメージとしては、「採用面接ではなく、試用期間中の働きぶりを見て合否を決める」こと。
履歴書(コードの見た目)だけでは判断せず、実際に仕事をさせてみて怪しい行動をしないか観察する――これがビヘイビア法の考え方です。
📊 ビヘイビア法の基本情報
| 項目 | 内容 |
|---|---|
| 英語名 | Behavior Detection(behavior=振る舞い) |
| 別名 | ダイナミックヒューリスティック法 |
| 最大の特徴 | 未知のマルウェアも検出できる可能性がある |
解説
従来のコンピュータウイルス対策ソフトは、「パターンマッチング法」を中心に検出を行ってきました。
これは既知のマルウェアの特徴的なコード(シグネチャ)をデータベースに登録しておき、検査対象と照合する方法です。
しかし、この手法はデータベースに登録されていない新種・亜種のマルウェアには対応できないという弱点があります。
なぜビヘイビア法が必要になったのか
マルウェアの作成者は、コードの一部を自動的に変化させるポリモーフィック型やメタモーフィック型の手法でシグネチャによる検出を回避します。
こうした状況に対抗するために登場したのが、コードの見た目ではなく「実際に何をするか」に着目するビヘイビア法です。
検出の仕組み
検査対象のプログラムをメモリ上の仮想環境(サンドボックス)で実行し、データの不正な書き込み、ファイルの大量複製、外部への異常な通信量といった挙動をルールベースで監視します。
あらかじめ定義した「危険な振る舞いのパターン」に該当すればマルウェアと判定する流れです。
他のマルウェア検出手法との比較
ビヘイビア法を正しく理解するには、他の手法と「何を比較対象にしているか」で整理するのが近道です。
パターンマッチング法:既知マルウェアのシグネチャ(特徴的なコード)と照合する。既知の脅威に強いが、未知のものには無力。
コンペア法:検査対象ファイルと、安全な場所に保管した原本を比較する。差異があれば感染とみなす。
チェックサム法:ファイルにあらかじめ付加した正当性保証情報(チェックサム)を再計算し、不整合があれば感染と判定する。インテグリティチェック法とも呼ばれる。
ヒューリスティック法:マルウェアが取りそうな動作パターンをコードレベルで静的に検査する。ビヘイビア法が「動的」であるのに対し、こちらは「静的」分析。
ここだけは確実に押さえてください。ビヘイビア法は「プログラムを実際に実行する」点が他の手法と決定的に異なります。
では、この用語が試験でどのように出題されるか見ていきましょう。
💡 ビヘイビア法の核心を3行で
・プログラムを実際に動作させ、その挙動を監視してマルウェアを判定する
・未知のマルウェアにも対応できるのが最大の強み
・パターンマッチング法は「コードの照合」、ビヘイビア法は「動作の監視」と整理する
試験ではこう出る!
ビヘイビア法は、マルウェア検出手法の比較問題として各試験区分で繰り返し出題されています。
出題パターンは大きく2つに分かれます。
📊 過去問での出題実績
| 試験回 | 出題内容 | 問われたポイント |
|---|---|---|
| SG R6 科目A 問3 |
マルウェアの検出方法のうち、検査対象のプログラムを実行する必要があるものを選ぶ問題。 | ・「実行が必要」という特徴でビヘイビア法を特定できるか ・コンペア法・チェックサム法・パターンマッチング法は静的検査 |
| FE H28秋 午前 問43 |
ウイルス検出におけるビヘイビア法に分類されるものを選ぶ問題。 | ・「仮想環境下で実行し挙動を監視」が正解 ・チェックサム法・コンペア法の説明がひっかけ選択肢 |
| AP H25秋 午前 問41 |
ビヘイビア法のウイルス検出手法に当たるものを選ぶ問題。 | ・H28秋FEと同一の問題構成(流用問題) ・選択肢の表現違いに惑わされないことが重要 |
📝 IPA試験での出題パターン
パターン1:「ビヘイビア法の説明を選べ」
4つの検出手法の説明文が並び、ビヘイビア法に該当するものを選ぶ形式。ひっかけとして「チェックサム法」や「コンペア法」の説明が紛れ込む。キーワードは「実行」「挙動の監視」「仮想環境」。
パターン2:「実行が必要な手法を選べ」
R6年度SGのように、検出手法の中から「プログラムの実行を伴うもの」を問う形式。ビヘイビア法だけが動的検査である点を知っていれば即答できる。
試験では深追い不要です。「実行して挙動を見る=ビヘイビア法」「コードのパターンを照合する=パターンマッチング法」という対比を押さえれば得点できます。
【確認テスト】理解度チェック
ここまでの内容を理解できたか、簡単なクイズで確認してみましょう
Q. マルウェアの検出手法であるビヘイビア法の説明として、最も適切なものはどれでしょうか?
- A. 既知のマルウェアに特徴的なコードパターンをデータベース化し、検査対象のファイルと照合して検出する。
- B. 検査対象のプログラムを仮想環境で実行し、データの不正な書き込みや異常な通信などの挙動を監視して検出する。
- C. 検査対象ファイルと安全な場所に保管してある原本を比較し、内容が異なっていれば感染と判定する。
正解と解説を見る
正解:B
解説:
ビヘイビア法は、プログラムを実際に動作させて挙動を監視し、不審な動きがあればマルウェアと判定する手法です。「仮想環境で実行」「挙動の監視」がキーワードになります。
選択肢Aはパターンマッチング法の説明です。シグネチャと呼ばれる既知の特徴コードとの照合による検出であり、未知のマルウェアには対応できません。選択肢Cはコンペア法の説明です。原本との比較で差異を検出する静的な手法であり、プログラムの実行は伴いません。
よくある質問(FAQ)
Q. ビヘイビア法に弱点はありますか?
あります。プログラムを実際に動作させる必要があるため、検査に時間がかかる点が最大の弱点です。また、マルウェアの中には仮想環境を検知すると動作を停止する「サンドボックス回避型」も存在し、この場合は検出を逃れられてしまいます。実務では、パターンマッチング法と併用して検出率を高めるのが一般的です。
Q. 「ビヘイビア法」と「ヒューリスティック法」はどう違いますか?
ヒューリスティック法(スタティックヒューリスティック法)は、プログラムのコードを静的に解析し、マルウェアが取りそうな動作パターンが含まれていないかを確認する手法です。一方、ビヘイビア法(ダイナミックヒューリスティック法)はプログラムを実際に実行して動的に判定します。「静的か動的か」が両者の分かれ目です。
