デッドドロップ・リゾルバとは【用語集詳細】
デッドドロップ・リゾルバ(Dead Drop Resolver)は、サイバー攻撃者によるWebサービスを用いたC2インフラストラクチャ構築手法です。「DDR」と訳されることもあります。
GitHubやSNS、ブログサービスなどの正当なWebサービス上に、攻撃者のC2サーバーを示すIPやドメイン情報を載せます。
この情報がデッドドロップ・リゾルバとなり、侵害したコンピュータとC2サーバー間の通信を秘匿し、セキュリティ対策による検知を回避することが可能になります。
マルウェアに感染したコンピュータは、表向きは正当なWebサービスと通信するため、C2通信は他の一般的なやり取りの中に紛れ込みます。また、マルウェアとC2サーバーとが直接通信することがないこと、Webサービスが通信を暗号化することから、不正な通信はさらに検知しにくくなります。
デッドドロップ・リゾルバに使われるサイトは、FacebookやYouTube、Discord、GoogleDocs、S3、Pasetbin、Reddit、Twitter、Telegram、Instagram、Tumblrなど多岐にわたります。
この手法を検知するには、ネットワークトラフィックを監視し、異常・不自然な通信を発見する他、Webサービスへのアクセスを制限するといった策が考えられます。
