Written by WizLANSCOPE編集部
目 次
C&Cサーバーとは、マルウェアに感染した多数のコンピュータで構成されたボットネットに対して、遠隔から指令を出したり、制御したりするサーバーのことです。
C&Cサーバーによって情報が窃取されたり、知らない間にサイバー攻撃に加担させられたりする危険性があるため、企業・組織としては適切な対策が求められます。
本記事では、C&Cサーバーの特徴や役割、有効な対策などを解説します。
▼本記事でわかること
- C&Cサーバーの概要
- C&Cサーバーを用いた攻撃の手口
- C&Cサーバーへの対策
「C&Cサーバーとは何か」「どのような危険性があるのか」などを知りたい方はぜひご一読ください。
C&Cサーバーとは
「C&C(Command and Control)サーバー」とは、ボットネットに指令を出したり、制御したりするサーバーのことです。
ボットネットとは、外部からの遠隔操作を可能にしてしまう「ボットウイルス」と呼ばれるマルウェア(悪意のあるソフトウェア)に感染した複数のデバイスによって構成されるネットワークのことを指します。
攻撃者はC&Cサーバーを通してボットネットに「デバイスから収集した情報の送信」や「攻撃の実行」などを指示します。
つまり、ボットウイルスに感染すると、自分でも気が付かないうちにボットネットの一部となり、攻撃者によって遠隔操作されてしまいます。
その結果、感染したデバイスは攻撃者の指示によって、大量のスパムメールの送信やDDoS攻撃の実行、さらには個人情報の窃取など、さまざまな不正行為に悪用される危険があります。
近年のC&Cサーバーは、検知を回避するために通信内容を暗号化したり、通常のWeb通信に偽装したりするなど、防御側の対策をすり抜けるケースが増えています。
その結果、C&Cサーバーは企業・組織にとって、見過ごすことのできない重大な脅威のひとつとなっています。
C&Cサーバーの特徴と役割
ここでは、C&Cサーバーが持つ特徴と具体的な役割について詳しく解説します。
特徴
C&Cサーバーは、セキュリティツールによる検知を回避するために、以下のような特徴をもっています。
- IPアドレスが頻繁に変わる
- 通常のWeb通信で使われるポートを悪用する
- 検知が困難な通信手段を利用している
IPアドレスとは、ネットワーク上における住所のようなもので、データの送信元や送信先を識別するために使用されます。
このIPアドレスを追跡することで、攻撃者の特定が可能になるため、 C&Cサーバーは数十分ごとなどの極めて短い時間でIPアドレスを変更するケースも少なくありません。
また、C&Cサーバーからの指令やデータの送受信には、通常のWeb通信で使用される「80番」や「443番」といったポートが悪用される傾向があります。
この場合、通信が正常なWeb通信の中に紛れてしまうため、検出は非常に困難になります。
そのほかにも、HTTPSやDNSトネリングといった検出の難しい通信手段を利用することで、正常な通信と区別しづらくしているケースも少なくありません。
役割
C&Cサーバーの主な役割は以下の通りです。
- ボットネットへの指示
- ボットネットからの情報収集
- ボットネットの管理
C&Cサーバーの中心的な役割は、ボットネット全体の一元管理です。
攻撃者は、このサーバーを通じて感染デバイスに指令を送ったり、DDoS攻撃を仕掛けたり、標的に合わせたマルウェアを配布したりします。
また、感染デバイスから収集した機密情報や個人情報を攻撃者のサーバーに送信させる役割も担っています。
さらに、C&Cサーバーは単に命令を出すだけでなく、ボットネットを維持するための仕組みも備えています。
マルウェアの更新や新たな機能の追加、検知を逃れるための改変指示を行うことで、感染デバイスを長期的に利用できるようにします。
C&Cサーバーを用いた攻撃の手口
C&Cサーバーを用いた攻撃の代表例としては、以下の4つが挙げられます。
- データ窃取
- 標的型攻撃
- DDoS攻撃
- ランサムウェア攻撃
適切な対策を講じるためにも、それぞれの手口を理解しておきましょう。
データ窃取
C&Cサーバーを悪用したデータ窃取では、まずマルウェアが企業のシステム内部に侵入して、従業員の認証情報や顧客データベース、機密文書などの重要情報を収集します。
このように収集された情報は、C&Cサーバー経由で攻撃者に送信されます。
窃取された情報は、金融犯罪での不正利用や身分詐称、産業スパイ活動、さらにはダークウェブでの売買などに悪用される危険性があります。
さらに、重要なデータが漏洩した場合、企業は競争優位性の喪失や顧客からの信頼低下など、深刻な被害を受ける恐れもあります。
標的型攻撃
標的型攻撃とは、特定の組織や個人をターゲットにしたサイバー攻撃の手法で、主に機密情報の窃取を目的としています。
標的型攻撃の大まかな流れは以下の通りです。
- 標的に関する情報を徹底的に収集する
- 標的型攻撃メールから初期侵入する
- バックドアを設置するなどして攻撃基盤を構築する
- 情報を探索する
- 情報を窃取し、転送する
C&Cサーバーは、このうち「攻撃基盤の構築」や「情報の窃取・転送」のフェーズで多く用いられます。
標的型攻撃の攻撃者は、まず標的組織の取引先になりすまして、マルウェアが添付されたメール(標的型攻撃メール)を送ります。メールを開封した従業員のデバイスにマルウェアを侵入させることで、攻撃が開始されます。
こうして標的と同じネットワーク上のデバイスを乗っ取り、C&Cサーバーと接続させることで、新たなマルウェアの送り込みや機密情報の窃取などを行います。
関連ページ
DDoS攻撃
DDoS(分散型サービス拒否)攻撃とは、複数のデバイスやネットワーク機器から特定のサーバーに大量のトラフィックを送信し、膨大な負荷をかけて正常なサービスの提供を妨害するサイバー攻撃です。
DDoS攻撃に使用される大量のトラフィックを発生させる手法として、攻撃者は「ボットネット」を利用します。
攻撃者は、C&Cサーバーを通じてボットネットに命令を送り、一斉にパケットを送信させて、標的サーバーを圧迫させます。
DDoS攻撃によって長時間サービスを提供できない状態が続くと、ブランドイメージが悪化したり、競合他社へ顧客が流出したりといった影響も懸念されます。
ランサムウェア攻撃
ランサムウェアとは、重要なデータを暗号化したり、パソコンをロックしたりして使用不能にすることで、その解除の対価として身代金を要求するマルウェアです。
ランサムウェアがデバイスに侵入すると、C&Cサーバーに接続し、デバイス情報(OS情報、IPアドレス、地理的な位置、アクセス権限の情報など)を送信します。
攻撃者は送られてきたデバイス情報をもとに、さらなる攻撃を仕掛けることがあります。
またC&Cサーバーは、データの暗号化に必要な暗号化鍵を送信する役割も担っており、ランサムウェアが鍵を受け取ると、データの暗号化が行われます。
これにより攻撃者は、暗号化の解除と引き換えに身代金を要求します。
なお近年では、暗号化の前に情報を窃取(C&Cサーバー経由で攻撃者に送信)し、二重恐喝に利用する場合や、そもそも暗号化はせずに最初から盗んだデータのばらまきと引き換えに、金銭を要求するケース(ノーウェアランサム)もあります。
関連ページ
C&Cサーバーへの対策
C&Cサーバーを悪用した攻撃を防ぐためには、単一のセキュリティ対策では不十分です。
攻撃者は複数の手法を組み合わせてデバイスやネットワークへの侵入を試みるため、企業・組織には多層防御の実践が求められます。
多層防御とは、入口・内部・出口の各段階で異なる防御策を講じ、万が一どれかひとつが突破されても、被害の拡大を防ぐという考え方です。
例えば、入口では侵入を阻止し、内部で異常を検知し、出口で情報流出を防止するいった形です。
このように複数の防御を実施することで、C&Cサーバーからの指令を遮断し、組織全体の安全性を確保することができます。
ここからは、C&Cサーバーを悪用した攻撃を防ぐための具体的な対策について解説します。
入口対策
「入口対策」とは、脅威の侵入を未然に防ぐための対策です。
C&Cサーバーへの入口対策としては、以下が挙げられます。
| アンチウイルス | マルウェアの侵入を水際でブロックする |
|---|---|
| ファイアウォール | 許可されていない通信をブロックすることで、内部ネットワークへの不正侵入を防ぐ |
| IDS/IPS | ネットワークを監視し、脅威を検知する(IPSは検知に加え防御も可能) |
これらのセキュリティソリューションの導入に加え、セキュリティパッチを迅速に適用することも非常に重要です。
セキュリティパッチを適用することで、プログラムや設定ファイルに含まれる脆弱性が修正され、マルウェアがシステム内に侵入するリスクを大幅に低減できます。
内部対策
内部対策は、万が一脅威が内部に侵入してしまった際に、被害の拡大を防ぐための対策です。
C&Cサーバーへの内部対策としては、以下が挙げられます。
| EDR | 脅威の侵入を前提にエンドポイントを監視し、侵入後の迅速な対応(封じ込め、調査、復旧)を実施する |
|---|---|
| ログ監視 | ログを継続的に監視することで異常なパターンをいち早く検出し、攻撃の初期段階や内部での不正行為が本格化する前に対応する |
| ネットワーク監視 | ネットワーク監視により、通信の送信先やトラフィック量を定期的にチェックすることで、未許可機器の通信を検知できる可能性が高まる |
出口対策
出口対策は、重要な情報が外部に漏洩するのを防ぐための対策です。
C&Cサーバーへの出口対策としては、以下が挙げられます。
| サンドボックス | 通常の領域から隔離してプログラムの検証を行うことで、未知のマルウェアが外部と通信するのを防ぐ |
|---|---|
| データの暗号化 | 万一データが窃取された場合でも、暗号化によって内容を読み取れない状態にしておくことで、閲覧されるリスクを低減する |
| プロキシサーバー | 通信を中継・監視し、不正な通信を遮断することで、C&Cサーバーを利用した攻撃に対する防御力を強化する |
従業員へのセキュリティ教育の実施
どれほど高性能なツールや仕組みを導入しても、従業員のセキュリティ意識が低ければ、サイバー攻撃のリスクを低減させることはできません。
例えば不審なメールに添付されているファイルを安易に開いてしまい、デバイスがマルウェアに感染して、C&Cサーバーに接続されてしまうかもしれません。
このような事態を避けるためには、定期的にセキュリティ教育を行い、従業員のセキュリティ意識を底上げする必要があります。
サイバー攻撃の手口や被害を周知することに加えて、模擬フィッシング演習を取り入れ、従業員に疑似体験をさせることで、セキュリティ意識を向上させることができるでしょう。
また、実際の業務でも警戒心を保ちやすくなります。
さらに、教育を継続すれば、攻撃の入口をつくらない文化が根づき、組織全体の防御力を高める効果が期待できます。
高度化するマルウェアへの対策に「LANSCOPE サイバープロテクション」
前述の通り、C&Cサーバーを利用した攻撃は、主にマルウェア感染からはじまります。
マルウェアの侵入を防ぐためには、PCやスマートフォンなど、マルウェアの入り口となるエンドポイントを保護することが重要です。
本記事では、ボットウイルスをはじめとするさまざまなマルウェアの検知・ブロックに有効な「LANSCOPE サイバープロテクション」の2種類のアンチウイルスを紹介します。
▼2種類のアンチウイルスソリューション
- アンチウイルス×EDR×監視サービス(MDR)をセットで利用できる「Aurora Managed Endpoint Defense(旧:CylanceMDR)」
- 各種ファイル・デバイスに対策できる次世代型アンチウイルス「Deep Instinct」
2種類のアンチウイルスソリューションの特徴を紹介します。
世界トップレベルの専門家によるMDRサービス「Aurora Managed Endpoint Defense」
「Aurora Managed Endpoint Defense 」は、アンチウイルスとEDRを併用し、エンドポイントを内外から保護するセキュリティソリューションです。
高度なエンドポイントセキュリティ製品を導入しても、適切に運用できなければ意味がありません。
「Aurora Managed Endpoint Defense」は、下記の2種類のセキュリティソリューションの運用を、お客様の代わりにセキュリティのスペシャリストが実施するMDRサービスです。
- 脅威の侵入をブロックする「AIアンチウイルス」
- 侵入後の脅威を検知し対処する「EDR」
高精度なアンチウイルス・EDRを併用できることに加え、セキュリティのプロが24時間365日監視をおこなうため、より確実にマルウェアの侵入からエンドポイントを保護することができます。
また、緊急時にはお客様の代わりにサイバー攻撃へ即時で対応するため、業務負荷を減らし、安心して本来の仕事へ集中することが可能です。
「LANSCOPE サイバープロテクション」は、 アンチウイルスのみ、アンチウイルス+EDRのみ導入するなど、柔軟な運用も可能です。
「Aurora Managed Endpoint Defense」についてより詳しく知りたい方は、下記のページをご確認ください。
各種ファイル・デバイスに対策できるNGAV「Deep Instinct」
「LANSCOPE サイバープロテクション」では、 AI(ディープラーニング)を活用した次世代ウイルス対策ソフト「Deep Instinct」を提供しています。
下記のようなセキュリティ課題をお持ちの企業・組織の方は、 検知率99%以上のアンチウイルス製品「Deep Instinct」の利用がおすすめです。※
- 未知のマルウェアも検知したい
- 実行ファイル以外のファイル形式(Excel、PDF、zipなど)にも対応できる製品が必要
- 手頃な価格で高性能なアンチウイルスを導入したい
近年の攻撃者は、セキュリティ製品から検知を逃れるため、実行ファイルだけでなくExcelやPDF・zipなど、多様な形式のマルウェアを仕掛けてきます。
「Deep Instinct」は、形式を問わずにさまざまなファイルに対応しているアンチウイルスのため、多様な形式のマルウェアを検知可能です。
また、手頃な価格設定も魅力です。
「Deep Instinct」についてより詳しく知りたい方は、以下のページを合わせてご確認ください。
※Unit221B社調べ
3分で分かる!
LANSCOPE サイバープロテクション
2種類の次世代AIアンチウイルスを提供する「LANSCOPE サイバープロテクション」について、ラインナップと特長を紹介します。
マルウェアに感染した場合は「インシデント対応パッケージ」にお任せください
「マルウェアに感染したかもしれない」「サイトに不正ログインされた痕跡がある」など、「サイバー攻撃を受けた後」に、いち早く復旧するためのサポートを受けたい場合は、プロがお客様に代わって脅威に対処する「インシデント対応パッケージ」の利用がおすすめです。
「LANSCOPE サイバープロテクション」のインシデント対応パッケージは、フォレンジック調査の専門家がお客様の環境を調査し、感染状況や影響範囲を特定するサービスです。
また、調査後は、封じ込めをはじめとした復旧支援に加え、今後どのように対策すべきかのアドバイスも提供します。
インシデント対応パッケージについて詳しく知りたい方は、下記のページをご確認ください。
まとめ
本記事では、「C&Cサーバー」をテーマにその概要や有効な対策などを解説しました。
本記事のまとめ
- C&Cサーバーとは、ボットネットに指令を出したり制御したりするサーバーのこと
- C&Cサーバーは、検知を回避するために、「IPアドレスの頻繁な変更」や「通常のWeb通信で使われるポートの悪用」をおこなう
- C&Cサーバーを用いた攻撃の手口としては、「データ窃取」「標的型攻撃」「DDoS攻撃」「ランサムウェア攻撃」などが挙げられる
- C&Cサーバーへの対策としては、「入口」「内部」「出口」といった複数の領域に防御層を設置する多層防御の実施が有効
C&Cサーバーは、攻撃者にとって大規模攻撃を効率的に実行したり、情報を窃取したりするための基盤といえます。
そのため、セキュリティ対策においては、C&Cサーバー由来の不正な通信を早期に検知・遮断することが最優先の課題です。
しかし、通常のWeb通信で使用されるポートを悪用したり、HTTPS通信を利用して暗号化したりすることで、検知を回避するケースも少なくありません。
このような高度化する攻撃に対応するためには、入口対策だけでなく、内部対策・出口対策を組み合わせた多層防御を実践することが重要です。
本記事で紹介した「LANSCOPE サイバープロテクション」は、PCやスマートフォンなどのエンドポイントへ侵入しようとするマルウェアを高い精度で検知し、ブロックするAIアンチウイルスです。
攻撃者が作成したばかりの未知のマルウェアであっても、ファイルの特徴から判定し、高い精度で検知するため、近年の高度化するマルウェアへも対策することが可能です。
セキュリティ強化を目指す企業・組織の方は、ぜひ導入をご検討ください。
3分で分かる!
LANSCOPE サイバープロテクション
2種類の次世代AIアンチウイルスを提供する「LANSCOPE サイバープロテクション」について、ラインナップと特長を紹介します。
おすすめ記事
