平成28年春午後Ⅱ設問2問1(2)に関する質問です。

マルウェア感染したモバイルPCからC&Cサーバへの通信をブロックするためにどのような機能を使用するかという問題です。

試験センターによる解答例では、『JプロキシのRHフィルタ(J社のセキュアプロキシのHTTPリクエストヘッダの文字列検査によるフィルタ)』となっておりましたが、具体的にHTTPリクエストヘッダにおけるどのフィールド名の文字列を検査して、ブロックするのかわからなかったので質問をしました。

一応、私の考えでは、フィールド名のUser-AgentがDL2である場合ブロックしているのかなと思っておりますがいかがでしょうか。

どなたか回答いただけたら幸いです。

問題↓
https://www.sc-siken.com/pdf/28_haru/pm2_2.pdf
備考↓
RHフィルタに関する内容は、15ページ
設問は、26ページ
にございます。

>一応、私の考えでは、フィールド名のUser-AgentがDL2である場合ブロック
>しているのかなと思っておりますがいかがでしょうか。
はい。その認識でよいと考えられます。
また実際の運用であれば、User-Agentに加えて、Refererの値も対象に
する場合もあります。

pixさん、いつも回答していただき、ありがとうございます🥹

>その認識でよいと考えられます。
ありがとうございます。根拠を明確にできて回答に自信を持つことができました！

>Refererの値も対象にする場合もあります。
本過去問から得られない貴重な情報を提供していただき、ありがとうございます。

申し訳ありませんが、疑問が生じました。
それは、マルウェアからC&Cサーバへ通信が行われる時、Refererにリンク元のURLがなぜセットされるのかということです。

私なりに考察しましたが、マルウェアのスプリクトで攻撃者がHTTPリクエストヘッダに任意の値を指定する際に、Refererの値を入れる領域にも影響が及んでおかしな値が挿入されてしまうのかなと思いましたがいかがでしょうか。

直接的に本過去問と関係する部分ではありませんが、回答をいただけたら幸いです。

>申し訳ありませんが、疑問が生じました。
>それは、マルウェアからC&Cサーバへ通信が行われる時、Refererにリンク元の
>URLがなぜセットされるのかということです。
発想が逆です。マルウェアが起点の通信はRefererの値が空になりがちです。

通常のアクセスであれば、直接URLを参照しない限り、Refererになんらかの
URLが設定されます。
それとは逆に、マルウェアと思われる通信は
・User-Agentが空、または不正な値
・Refererが空
など、ヘッダに通常の通信とは異なる値が設定される傾向があります。

pixさん、回答ありがとうございます。

>発想が逆です。マルウェアが起点の通信はRefererの値が空になりがちです。
お恥ずかしながら、完全に意味を履き違えておりました。

pixさんから教えていただいた知識を私が理解できているか確認していただきたいのですが、本過去問に当てはめると、JプロキシのRHフィルタのHTTPリクエストヘッダにおける
  『User-AgentがDL2』や『Refererが空』
の通信を対象することでモバイルPCからC&Cサーバへの通信をブロックすることができる。
という認識でよろしいでしょうか？

>本過去問に当てはめると、JプロキシのRHフィルタのHTTPリクエストヘッダに
>おける『User-AgentがDL2』や『Refererが空』の通信を対象することで
>モバイルPCからC&Cサーバへの通信をブロックすることができる。
>という認識でよろしいでしょうか？
本設問であれば、『User-AgentがDL2』のものをブロックすれば要件は
満たせると思われます。

Refererについてですが、実際の業務で不審なアクセスがあった場合、不審な
アクセスを特定するヒントとしてRefererの値が空のものに注目したりします。

>Refererについてですが、実際の業務で不審なアクセスがあった場合、不審な
>アクセスを特定するヒントとしてRefererの値が空のものに注目したりします。

pixさん、ありがとうございます。
わかりやすい説明でさらに理解を深めることができました。
また今後ともよろしくお願い致します😆