www.youtube.com Z社のセキュリティを守れ！今回は、令和元年秋期情報処理安全確保支援士試験午後Ⅰ問2を題材に、C&C通信の謎に迫ります。サクラ先輩とモモちゃんと一緒に、マルウェア感染の原因究明からDNSトンネリングの仕組み、そしてファイアウォールの穴を塞ぐ具体的な対策までを徹底解説。ネットワーク構成図やログ分析の基礎を学びたいエンジニア必見の内容です。 この動画で深く理解しておきたい核となる概念は、まずDNSトンネリングという巧妙なデータ漏洩の手口です。通常、企業ネットワークではWeb閲覧などの通信は厳しく監視されますが、DNS通信は「電話帳」のような役割として軽視されがちです。攻撃者はこの盲点を突き、盗み出した機密情報を暗号化・分割して、攻撃者が管理するドメインのサブドメイン部分（ホスト名）に埋め込みます。あたかもIPアドレスを問い合わせるふりをしてデータを外部へ送信するこの手法は、パケットの中身を詳細に見ない単純なフィルタリングでは防ぐことが難しいため、不自然に長い文字列や異常な頻度のクエリといった通信の特徴的振る舞いを監視する必要があります。次に、この攻撃を許してしまった背景にあるファイアウォールの設定ミス、いわゆる「抜け穴」の理解も不可欠です。事例となったZ社では、フィルタリングルールの3番目で、社内の全端末に対してインターネット上の任意のDNSサーバへのアクセスを許可していました。これを是正するためには、社内PCは「内部DNSサーバ」とのみ通信を許可し、インターネットへの問い合わせは内部DNSサーバのみが行えるように通信経路を一本化・制御するというネットワーク分離の原則を適用しなければなりません。また、インシデント調査の実務的なスキルとして、ログの突き合わせ（相関分析）の手順も極めて重要です。今回のケースでは、マルウェアがプロキシのIDとパスワードを知らなかったため、HTTP通信は「407 Proxy Authentication Required」エラーで失敗しました。しかし、外部との接続を諦めないマルウェアが次に試みたDNS通信は成功しており、この「HTTPの失敗」と「DNSの成功」という2つの異なるログの時刻と送信元を照合することで、はじめて感染源であるPC-Vを特定できました。さらに、発見した脅威情報を組織間で共有する枠組みであるISACへの報告も学習ポイントです。共有すべきIoC（侵害の痕跡）には、マルウェア自身のハッシュ値や通信先C&CサーバのIPアドレスが含まれ、これにより他の組織も自社のログを検索して被害の有無を確認できます。最後に、ファイルが改ざんされていないことを保証するコードサイニング証明書の確認や、端末単体の監視を行うEDRからネットワーク全体を包括的に監視するXDR、そして境界防御に依存しないゼロトラストといった最新のセキュリティトレンドへの進化についても押さえておくことで、現代のサイバー攻撃に対抗するための包括的な知識体系を構築することができます。