平成30年度春期問41テクノロジ系

基本情報平成30年度春期問41：テクノロジ系に関する問題

ボットネットにおける C&C サーバの役割として, 適切ながものはどれか。

aWeb サイトのコンテンツをキャッシュし, 本来のサーバに代わってコンテンツを利用者に配信することによって, ネットワークやサーバの負荷を軽減する。
b外部からインターネットを経由して社内ネットワークにアクセスする際に, CHAP などのプロトコルを用いることによって, 利用者認証時のパスワードの次聴を防止する。
c外部からインターネットを経由して社内ネットワークにアクセスする際に, チャレンジレスポンス方式を採用したワンタイムパスワードを用いることによって, 利用者認証時のパスワードの盗聴を防止する。
d侵入して乗っ取ったコンピュータに対して, 他のコンピュータへの攻撃などの不正な操作をするよう, 外部から命令を出したり応答を受け取ったりする。正答

正答：D侵入して乗っ取ったコンピュータに対して, 他のコンピュータへの攻撃などの不正な操作をするよう, 外部から命令を出したり応答を受け取ったりする。

AI解説（初心者・標準・上級）

理解度に合わせて3レベルの解説を無料で読めます。

初心者向けまずはここから。やさしく要点を解説

答えは d です。

C&Cサーバ＝ボットネットの司令塔。

悪い人がウイルスで乗っ取った大量のPC（ボット）に対して、「あのサイトを攻撃しろ」「情報を盗んでこい」と命令を出すサーバです。乗っ取られたPCはC&Cサーバに定期的に「指示ください」と接続してきます。

👉 覚え方：C&C＝Command（命令）& Control（制御）＝司令塔！

ほかの選択肢：a Webキャッシュ＝プロキシ／b CHAP認証＝PPP/PPTPの認証／c ワンタイムパスワード＝OTPトークン。

標準試験対策の基準レベル

なぜこれが正解か

正解は d。C&Cサーバ（Command and Control Server）は、攻撃者が乗っ取ったコンピュータ（ボット）に対して遠隔から命令を発信し、応答を受け取る中継拠点。DDoS攻撃、スパム送信、情報窃取等の指令配信、感染拡大の指示、収集データの集約に使われる。

各選択肢の解説

a Webコンテンツのキャッシュ・配信：CDN／キャッシュサーバ／プロキシの機能。
b CHAPプロトコルによるパスワード盗聴防止：PPP/PPTPの認証プロトコルの説明。
c チャレンジレスポンス方式のワンタイムパスワード：OTPトークン／RSA SecurID等の認証機構。
d 乗っ取りPCへの命令送信と応答受信：C&Cサーバ → 正解。

覚え方・ひっかけ注意

ボットネットの構造：(1)攻撃者 → (2)C&Cサーバ → (3)ボット（感染端末） → (4)被害サイト。C&Cはこの中継階層で、攻撃者の身元を秘匿しつつ大量のボットを一斉指令できる。検知対策にはC&C通信パターンの監視（DNSログ、Proxyログ、SIEM相関分析）が有効。

上級誤答論破・背景理論まで深掘り

C&C通信の進化

初期は固定IPやIRCチャネルだったが、テイクダウン回避のため進化：

HTTP/HTTPS C&C：通常Web通信に紛れ込ませる。最も一般的。
DGA（Domain Generation Algorithm）：時刻に基づいて毎日数千の擬似ドメインを生成、攻撃者は数個だけ登録。Conficker、Necursが代表例。
Fast-flux DNS：1ドメインに多数のIPを高速ローテーション。
P2Pボットネット：中央サーバなし、ボット同士で命令拡散。Game Over Zeus、Storm wormが古典例。
DoH/DoT利用：DNS over HTTPS/TLSで通信秘匿化。
正規SaaS悪用：Telegram、Discord、Twitter、GitHub Gist、Pastebin、Dropbox等をC&Cチャネルとして悪用。検知困難。
ドメインフロンティング：CDN（Cloudflare、Fastly等）のSNIとHostヘッダの不一致を悪用、現在は多くのCDNで禁止。

ボットネット代表事例

Mirai（2016）：IoT機器（カメラ、ルータ）感染、史上最大級のDDoS（Krebs on Security、Dyn DNS攻撃）。
Emotet（2014-2021）：マルウェアローダ、欧州警察協力でテイクダウン。
TrickBot：銀行情報窃取、Conti ransomwareとの連携。
Mozi：P2P型IoTボットネット、Mirai系統。
Qakbot：金融マルウェア、2023年FBIにより停止。

検知・対策

脅威インテリジェンス（CTI）：既知C&CのIoC（IP、ドメイン、ハッシュ）共有。MISP、AlienVault OTX、VirusTotal。
DNSシンクホール：悪性ドメインを自社DNSで偽IPに返してC&C到達阻止。
NDR（Network Detection and Response）：機械学習で異常通信パターン検出。Darktrace、ExtraHop、Vectra。
EDR/XDR：エンドポイント側でC&C通信ブロック。CrowdStrike、Microsoft Defender、SentinelOne。
マイクロセグメンテーション・ゼロトラスト：横展開阻止。
MITRE ATT&CK：戦術・技術のフレームワーク化、C&Cは TA0011 として定義。

試験での位置づけ

FE「セキュリティ」分野で毎期出題級の超頻出。応用情報・SCではボットネット詳細、テイクダウン手法、APT、サプライチェーン攻撃、SIEM/SOC運用、フォレンジック手法まで踏み込む。

サンドボックスの活用

マルウェア解析でCuckoo Sandbox、ANY.RUN、Joe Sandbox等が利用される。C&C通信のシグネチャ・通信先抽出に効果的。OSINT＋脅威インテリジェンス共有でゼロデイ対応を加速。

選択肢の発展補足

bのCHAP（Challenge Handshake Authentication Protocol）はPPP/L2TP/VPN認証で使用、平文パスワードを送らずチャレンジ＋ハッシュで認証。cのワンタイムパスワード（HOTP/TOTP、RFC 4226/6238）は多要素認証（MFA）の中核、Google Authenticator、Authy、Microsoft Authenticator等で実装。aのWebキャッシュはパフォーマンス目的だが、副作用としてプライベートデータの誤キャッシュリスクあり、Cache-Controlヘッダで制御。

出典・引用について

出典：IPA（情報処理推進機構）公式基本情報技術者試験平成30年度春期問41／公的機関配布資料につき出典明記の上引用。解説は合格ナビによる独自AI解説です。