マルウエアによる被害を防ぐには、ウイルス対策ソフトなどを導入して侵入を検知することが不可欠である。だがそれだけでは不十分だ。新たに出現したマルウエアは検知できない場合があるためだ。侵入された場合の備えも必要だ。
そこで有用なのが、マルウエアの通信を遮断する対策である。マルウエアの多くは、攻撃者がインターネット上に用意したC&Cサーバー▼と呼ばれるコンピューターを介して攻撃者とやりとりするからだ。通信を遮断すれば攻撃者からの命令はマルウエアに届かなくなり、マルウエアが盗んだ情報を社外に送られることも防げる。
だが、この対策を回避する手口が出現している。今回はその手口を解説しよう。
通信先のドメインで判断する
マルウエアの通信を遮断するには、ファイアウオールやUTM▼などのセキュリティー機器や監視サービスを利用する。これらは、通信相手のドメイン(URL▼)やIPアドレス、HTTP▼ヘッダーの情報、パケットの中身でマルウエアによる通信かどうかを判断する。
ただし近年では、インターネットの通信のほとんどはHTTPS▼で暗号化されているので、HTTPヘッダーやパケットの中身で判断するのが難しくなっている。このため通信相手のドメインやIPアドレスで判断することが多い(図1)。