コネクトバック通信対策
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2022/05/02 00:27 UTC 版)
「サイバーセキュリティ」の記事における「コネクトバック通信対策」の解説
C&Cサーバとのコネクトバック通信ではhttpやhttpsを使う事が多いので、透過型プロキシは通過してしまう。このため透過型でないプロキシを立て、ユーザ端末のブラウザのプロキシ設定をオンにし、プロキシを経由していない通信はファイヤーウォールでインターネットに接続前に遮断する必要がある。アプリケーションの更新などはWSUSのような中間配布サーバを立てるか、個々のアプリケーションに対してプロキシを指定する。後者の場合、通信ログからファイヤーウォールで遮断されたアプリケーションを特定してホワイトリストをチューニングする必要がある。 またマルウェアの中にはプロキシに対応したものもあるので、プロキシの認証機能を有効にし、ユーザ端末のブラウザ側でもID/パスワードのオートコンプリート機能を禁止する必要がある。プロキシはディレクトリサービスと連動するなどしてユーザ単位の認証ができるものが望ましい。またActive Directoryを使えば配下にある端末のオートコンプリート機能を一括で禁止できる。 ドメインと連携したシングルサインオン機能を使っている場合はコネクトバック通信も自動的に認証を通ってしまう可能性があるので、プロキシの認証ログを監視し、(窃取されたユーザIDの使い回しによって)異なるユーザ端末から同一の時間帯に同一ユーザIDによる認証が異なるIPアドレスから行われていないか、業務時間外などの不自然な時間帯に特定端末で定期的に認証がなされていないかといった事を、検知ルールにより自動的にチェックする仕組みを作る必要がある。 またマルウェアはC&Cサーバとのセッションの維持のためCONNECTメソッドを悪用する事があるので、プロキシのアクセス制御リストにより、業務に必要なポート(httpの80番やhttpsの443番)以外のCONNECTメソッドを遮断する必要がある。さらにログの監視ルールを作ることで、長期間維持されているセッションや不自然な時間帯のセッションを遮断する必要がある。マルウェアの中には切断されたセッションを規則的に再接続するものがあるので、ファイヤーウォールのフィルタリングでセッションを強制遮断する事によりそうしたマルウェアを発見できる。
※この「コネクトバック通信対策」の解説は、「サイバーセキュリティ」の解説の一部です。
「コネクトバック通信対策」を含む「サイバーセキュリティ」の記事については、「サイバーセキュリティ」の概要を参照ください。
- コネクトバック通信対策のページへのリンク
