IRC(Internet Relay Chat)であるが、フルスペルを見て、なんとなくイメージがわくかもしれない。
インターネットでリレー式にチャット(会話)をする仕組みだ。
IRC通信自体は悪いものではないが、ボットでは、不正な通信を有効に機能させるためにIRCを利用して司令塔であるC&C(Command&Control)サーバと通信をする。
従来はTCPポート6667を使ったIRC通信が多かったが、最近ではhttp(80)を使い、FWをすり抜けて通信することが多い。
過去問を見てみよう。
Y主任:いいえ。ボットを放置しておくと,ほかのPCへの感染活動や[ d ]攻撃を行うボットネットに加担し続けることになり,他者に迷惑をかけてしまいます。社内LAN上のポットを早急に追跡しなければなりません。
X君 :それでは,ボットが外部から指令を受けるときの通信に注目して追跡することにします。ボットが利用する通信プロトコルは何でしょうか。
Y主任:多くの場合,  Internet Relay Chat(IRC)を使って通信が行われているようです。大抵のIRC通信は,TCPポート6667を使っています。
(中略)
Y主任:ボットには,指令を含む通信の発見を逃れるために,通信を暗号化するものや通信ポートを変えるものもあります。後者については、③社内LANからインターネットに向けた通信ポートの制限をFWに適用できれば、指令を含む通信を遮断できるのですが、適用できない場合があります。
X君 :ところで,当社のすべてのPCにはウイルス対策ソフトがインストールされています。指令を含む通信を発見できないのは,既に駆除されているからではないでしょうか。
Y主任:それはありません。当社のウイルス対策ソフトの稼働状態とウイルス検知状況はシステム管理部門によって管理されています。現時点で,すべてのウイルス対策ソフトは定期的にパターンファイルが更新された状態で稼働しているということが分かっていますが,ボットを検知したという報告はありません。
X君 :それではなぜ,ウイルス対策ソフトで発見できないのでしょうか。
Y主任:最近のボットには,自身の発見を逃れるために迷惑メールの送信頻度を抑える機能や,④パターンマッチング方式のウイルス対策ソフトによる検知を難しくする仕組みをもつものがあります。

設問1
(2)本文中の[ d ]に入れる適切な字句を答えよ。
設問3 ボットに感染したPCによる被害の抑止と追跡について,(1)~(3)に答えよ。
(1)本文中の下線③について,Y主任が,FWに適用できない場合があるとしている理由を,50字以内で述べよ。
(2)本文中の下線④について,ウイルス対策ソフトによる検知を難しくする仕組みを,  20字以内で述べよ。
(H20SV午前1問1)

設問1 d DDoS
設問3
(1) 一般業務で利用するHTTPプロトコルなどの通信ポートを使って指令を受け取ることもできるから
(2) 頻繁に自身のコードを更新する。