情報セキュリティスペシャリストの過去問(H25秋SC午後Ⅱ問1)では、マルウェアが外部のC&Cサーバと不正な通信をしていることが述べられている。しかも、プロキシサーバのURLフィルタリングをすり抜けてしまっているのだ。
 そんなとき、対策は全くないのか。完璧な対策ではなく、あくまでも一例でしかないが、この問題文に対策が書かれてある。
 この問題文の[対策の検討]には、「マルウェアからC&CサーバへのHTTP通信をプロキシで止める対策が有効だと考えています」と述べられている。この具体的な内容が設問で問われていて、解答 例は「プロキシで利用者認証を有効にする」である。プロキシサーバにて認証設定をすれば、認証情報を知らないマルウェアから、外部への不正通信を防ぐことができる。

IPAの「高度標的型攻撃」対策に向けたシステム設計ガイド」(http://www.ipa.go.jp/files/000042039.pdf)にデータがあるので紹介する。
※トレンドマイクロ社のデータを活用しているようだ。

P44のデータを見ると、約52%が直接通信、27%がプロキシを利用、21%が認証プロキシを突破するとある。
21%も突破するという見方もあるが、認証プロキシを入れれば8割の不正なC&C通信がブロックできるので、対策としては価値があると考えられる。

以下、過去問を解いてみましょう。
②プロキシ認証に対応したマルウェアも多いとの調査報告を踏まえ,効果が完全ではないことを認識しながらも,プロキシ2のプロキシ認証機能を有効にした。

設問4 (1)本文中の下線②について,マルウェアは,どのようにして,認証を成功させるか。50字以内で具体的に述べよ。
試験センターの解答例は「Webブラウザからプロキシサーバへの通信を盗聴して認証情報を取得し、プロキシサーバに送信する」です。