基本情報技術者 2016年 秋期 午前(科目A) 問45
問題文
PCへの侵入に成功したマルウェアがインターネット上の指令サーバと通信を行う場合に、宛先ポートとしてTCPポート番号80が多く使用される理由はどれか。
選択肢
ア:DNSのゾーン転送に使用されることから、通信がファイアウォールで許可されている可能性が高い。
イ:WebサイトのHTTPS通信での閲覧に使用されることから、侵入検知システムで検知される可能性が低い。
ウ:Webサイトの閲覧に使用されることから、通信がファイアウォールで許可されている可能性が高い。(正解)
エ:ドメイン名の名前解決に使用されることから、侵入検知システムで検知される可能性が低い。
##: PCへの侵入に成功したマルウェアがインターネット上の指令サーバと通信を行う場合に、宛先ポートとしてTCPポート番号80が多く使用される理由はどれか。【午前2 解説】
要点まとめ
- 結論:マルウェアは正規のWeb閲覧と区別されにくく、ファイアウォールやプロキシで許可されやすい既定のHTTPポート80を利用してC2通信を行うため80番ポートが多用される。
- 根拠:企業や家庭のネットワークではHTTP(ポート80)がデフォルトで許可され、アウトバウンドの遮断が緩く、通常トラフィックと同列に扱われ検査が甘くなりやすい。
- 差がつくポイント:単にポート番号を見るだけで判断せず、HTTPヘッダの不自然さや通信頻度、プロキシ挙動やTLSの有無で悪性通信を見抜く観点が重要になる。
正解の理由
正解: ウ
ウは「Webサイトの閲覧に使用されることから、通信がファイアウォールで許可されている可能性が高い。」とあり、これは妥当な理由です。多くのネットワークではWeb閲覧のためにHTTP(ポート80)が標準で許可され、マルウェアはその既存の通路を利用してコマンド&コントロール(C2)通信を行うため、宛先ポートに80が用いられることが多いと説明できます。ファイアウォールやプロキシが80番を許可している割合が高いため、通信が外部に出やすく検出を回避しやすい点が正解の根拠です。
ウは「Webサイトの閲覧に使用されることから、通信がファイアウォールで許可されている可能性が高い。」とあり、これは妥当な理由です。多くのネットワークではWeb閲覧のためにHTTP(ポート80)が標準で許可され、マルウェアはその既存の通路を利用してコマンド&コントロール(C2)通信を行うため、宛先ポートに80が用いられることが多いと説明できます。ファイアウォールやプロキシが80番を許可している割合が高いため、通信が外部に出やすく検出を回避しやすい点が正解の根拠です。
よくある誤解
- ポート80は常に安全だから使われる:ポート自体の「安全性」は関係なく、許可されやすさ(通過しやすさ)が理由です。
- HTTPS(443)なら検知されやすい/検知されにくいと単純化する:443は暗号化で中身が見えにくい一方、TLSの振る舞いやSNI、証明書情報で異常を検出できる場合があります。
- DNSのゾーン転送(AXFR)と混同する:ゾーン転送はTCPの53番を使うもので、80番とは別の話です。
解法ステップ
- 問題文で「TCPポート番号80」と「マルウェアが指令サーバと通信」を確認する。
- 各選択肢が示すサービスとポート番号の関連性を思い出す(HTTP→80、HTTPS→443、DNS→53)。
- マルウェアがなぜ特定ポートを使うかを「ネットワーク運用上の許可状況」や「検出の難しさ」で吟味する。
- 最も妥当な理由(ファイアウォールで許可されやすい)を述べた選択肢を選ぶ。
選択肢別の誤答解説
- ア: 「DNSのゾーン転送に使用されることから…」
誤り。ゾーン転送はTCPの53番を使うため、80番とは無関係であり、一般にゾーン転送が許可されているとは限らない。 - イ: 「WebサイトのHTTPS通信での閲覧に使用されることから、侵入検知システムで検知される可能性が低い。」
誤り。HTTPSはポート443を想定する記述であり、問題の80番(HTTP)と整合しない。さらにIDSはTLS挙動で不審を検出することもある。 - ウ: 「Webサイトの閲覧に使用されることから、通信がファイアウォールで許可されている可能性が高い。」
正解。HTTP(80)は多くの環境で許可されやすく、通常トラフィックと紛れさせてC2を行う目的に合致する。 - エ: 「ドメイン名の名前解決に使用されることから、侵入検知システムで検知される可能性が低い。」
誤り。ドメイン名解決はDNS(通常UDP/TCP 53)の役割であり、80番とは無関係。DNSトラフィックは別途検査対象となる。
補足コラム
- なぜ攻撃者は80番を使うのか:出口制御(egress filtering)が甘い環境では、80/443が外向き通信の大部分を占めるため、これらのポートを使うと通信が通りやすくなります。HTTPはプロキシやキャッシュを通る際にログに埋もれることもあり、検出を難しくします。
- 防御側の対策例:厳格なアウトバウンドフィルタリング、プロキシによるHTTPヘッダ検査、通信の異常パターン(ビーコン頻度、長時間接続、特定IPへの継続接続)検出、TLSのメタデータ解析(SNI、証明書)等を組み合わせると有効です。
FAQ
Q1: なぜポート443(HTTPS)ではなく80番が多いのですか?
A1: 443番も頻繁に使われますが、問題文は80番に限定しています。80番は平文HTTPでトラフィック解析がしやすい一方で、多くのネットワークで許可されやすく、プロキシ経由で混入しやすいという運用上の理由があります。攻撃者は環境に応じて80または443を使い分けます。
A1: 443番も頻繁に使われますが、問題文は80番に限定しています。80番は平文HTTPでトラフィック解析がしやすい一方で、多くのネットワークで許可されやすく、プロキシ経由で混入しやすいという運用上の理由があります。攻撃者は環境に応じて80または443を使い分けます。
Q2: IDSはポート80の通信を検出できないのですか?
A2: できる場合もあります。IDSはシグネチャや異常検知で不審なHTTPパターンを検出できますが、トラフィック量やログのノイズ、暗号化の有無で難易度が上がります。
A2: できる場合もあります。IDSはシグネチャや異常検知で不審なHTTPパターンを検出できますが、トラフィック量やログのノイズ、暗号化の有無で難易度が上がります。
Q3: ポート番号だけで防御は可能ですか?
A3: いいえ。ポート番号は参考情報にすぎません。通信内容、振る舞い、頻度、接続先の評判情報など複数の指標で判断する必要があります。
A3: いいえ。ポート番号は参考情報にすぎません。通信内容、振る舞い、頻度、接続先の評判情報など複数の指標で判断する必要があります。
関連キーワード: TCPポート80、HTTP、ファイアウォール、マルウェア、C2通信、侵害検知、プロキシ、アウトバウンドフィルタリング
\ せっかくなら /
基本情報技術者を
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!