基本情報 平成26年度 秋期 問44：テクノロジ系に関する問題

答えは c「Webサイトを見るのに使われるから、ファイアウォールで許可されている可能性が高い」です。

ファイアウォールは“通信の門番”。普通は怪しい通信をブロックしますが、Webサイトを見る通信（80番ポート）はみんなが使うので開けっ放しになっています。

マルウェアはこの「開いてる門」を使って、攻撃者のサーバとこっそりやり取りします。バレにくいんです。

👉 覚え方：80番＝Webの入口＝みんな通る＝怪しいやつも紛れ込む。

ほかの選択肢：a DNSゾーン転送＝53番／b 80番はHTTPS（443番）じゃない／d DNSは53番。番号が違います。

なぜこれが正解か

正解は c。TCP 80番ポートはHTTP（Web閲覧）の標準ポートで、業務上必須のためファイアウォールで通常許可されている。マルウェアは正規HTTP通信に紛れることで、ファイアウォールを通過しやすく検知も困難になる。これがC&C（Command and Control）通信に80番が選ばれる理由。

各選択肢の解説

• a 誤り：DNSゾーン転送はTCP 53番。80番ではない。
• b 誤り：HTTPSはTCP 443番。80番はHTTP（平文）であり、HTTPSとは別ポート。
• d 誤り：DNS名前解決はUDP/TCP 53番。80番ではない。

覚え方・ひっかけ注意

主要ポート：HTTP=80／HTTPS=443／DNS=53／SMTP=25／POP3=110／IMAP=143／SSH=22 をセットで暗記。「80番＝Web＝みんな開けている＝マルウェアも狙う」と直結させる。最近はHTTPS（443）経由のC&Cも増加しており、両方押さえると応用問題に強い。

理論的背景

C&C（C2）通信は、攻撃者がボット化された端末を遠隔操作する制御チャネル。検知回避のため「正規プロトコルへの便乗（Living off the Land）」が主流で、HTTP/HTTPS／DNSトンネリング／ICMPトンネリングが使われる。MITRE ATT&CKフレームワークでは「TA0011: Command and Control」の戦術配下にT1071（Application Layer Protocol）として整理される。

実務での使われ方

対策としては (1) 次世代ファイアウォール（NGFW）によるアプリケーション識別・SSL/TLSインスペクション、(2) プロキシ経由通信の強制とユーザ・エージェント／URLレピュテーション照合、(3) サンドボックスでの動的解析、(4) EDR（Endpoint Detection and Response）による異常通信検知が組み合わされる。CASB（Cloud Access Security Broker）で外向き通信を可視化する例も増えた。

試験での位置づけ

基本情報・応用情報・情報処理安全確保支援士で頻出。近年は「ファストフラックス」「DGA（Domain Generation Algorithm）」「DNSオーバーHTTPS（DoH）の悪用」等、検知回避手法の進化と対応策を問う応用問題が登場している。

選択肢の発展補足

• DNSゾーン転送（a）はAXFR/IXFRで、外部に晒すと情報漏えいリスク（Reconnaissance）になる。
• 80番のIDS検知率（b）は近年深層パケット検査（DPI）の普及で向上したが、HTTPS通信は復号しないと中身が見えない（だからこそ443経由C&Cが増えた）。
• DNS名前解決（d）を悪用するDNSトンネリングも別問で頻出。クエリ／応答にデータを埋め込む手法。