基本情報 平成28年度 春期 問45：テクノロジ系に関する問題

答えは c「Webサイト閲覧用なので、ファイアウォールで許可されている可能性が高い」 です。

TCP 80番ポートはWebサイト閲覧（HTTP）の標準ポート。会社や家のファイアウォールはWebは見られないと困るのでほぼ確実に開けてある。

だから悪いソフトは「開いてる門から堂々と出入りすればバレにくい」と考えて80番を選びます。

👉 覚え方：「80番＝Web＝どこでも開いてる門」。

ほかの選択肢：a DNSゾーン転送＝TCP 53で別ポート／b HTTPS閲覧＝それは443番／d 名前解決＝DNS（UDP 53）。「Web閲覧」というキーワードと結びつくのが80番。

なぜこれが正解か

正解は c。TCPポート80番はHTTP（Webブラウジング）のwell-knownポートで、企業ファイアウォールでも通常許可されている。マルウェアはC&Cサーバ（Command & Control／指令サーバ）との通信に80番を使うことで、ファイアウォール通過の確率を高めつつ、Webトラフィックに紛れ込んで検知回避する。

各選択肢の解説

• a DNSゾーン転送：DNSは53番（UDP/TCP）で80番ではない。記述が誤り。
• b HTTPS閲覧で侵入検知回避：HTTPSは443番。記述が誤り。HTTPS（443）も実際にC&C通信に使われるが本問は80番。
• c Web閲覧で許可されている可能性が高い：正解。
• d ドメイン名解決：これも53番のDNSの話。

覚え方・ひっかけ注意

「80=HTTP／443=HTTPS／53=DNS／25=SMTP／110=POP3／143=IMAP／22=SSH／3389=RDP」は完全暗記必須。マルウェアがWebトラフィックに紛れる手法はトンネリング・Domain Frontingとして知られる。HTTPSの443も同様に多用されるが、本問は80番限定の出題。443番だと侵入検知回避が容易（暗号化で中身見えない）という側面はあるが、80番選定の理由は通過しやすさが主因。

理論的背景

C&C（Command and Control）通信はAPT攻撃の中核要素で、マルウェアが攻撃者の指令を受け、窃取データを送出する経路。Kill Chainの「Command & Control」フェーズに該当。検知回避のため：

• 正規プロトコル偽装：HTTP/HTTPS/DNS over 80/443/53
• DGA（Domain Generation Algorithm）：動的に生成したドメインで通信
• Fast Flux：頻繁にIP切替
• Domain Fronting：CDN経由で目的地隠蔽
• Beaconing：低頻度通信でトラフィック異常を隠す

実務での使われ方

防御技術：

• DPI（Deep Packet Inspection）：ペイロード解析で異常通信検知
• TLS復号インスペクション：HTTPS内容も検査（プライバシ問題あり）
• DNS Sinkhole：既知C&Cドメインをブラックホールに誘導
• アウトバウンドプロキシ強制：直接インターネット接続禁止
• ベイコニング検知：定期通信パターンの統計的異常検知
• Threat Intelligence連携：IoC（Indicator of Compromise）共有

SIEM／XDRで多層的に検知し、SOARで自動対処。

試験での位置づけ

セキュリティ分野頻出。基本情報ではポート番号と用途、応用情報・情報処理安全確保支援士ではKill Chain・MITRE ATT&CK・APT・ラテラルムーブメントまで踏み込む。標的型攻撃メール（スピアフィッシング）との連動シナリオも頻出。

選択肢の発展補足

Well-knownポート一覧（暗記必須）：

• 20/21: FTP（データ／制御）
• 22: SSH
• 23: Telnet（非推奨）
• 25: SMTP
• 53: DNS
• 67/68: DHCP
• 80: HTTP
• 110: POP3
• 123: NTP
• 143: IMAP
• 161/162: SNMP
• 443: HTTPS
• 465/587: SMTPS／Submission
• 993: IMAPS
• 995: POP3S
• 3389: RDP

現代的攻撃ではDNS over HTTPS（DoH）/DNS over TLS（DoT）を悪用したトンネリングが急増し、防御側はSSL/TLSインスペクションとふるまい分析の組み合わせで対応。試験対策は基本ポート番号暗記＋現代脅威動向の理解で上位資格までカバー可能。