C&Cサーバ

導入

標的型攻撃や不正送金、情報漏えいなどによる被害が後を絶ちません。こうした被害を防止するためには、マルウェアに感染させた「ゾンビPCやIoT機器」などを操って情報を盗み出すC&Cサーバとの通信を遮断する手段が有効です。そのひとつが、C&C(コマンド&コントロール)サーバとの通信を自動ブロックする「マルウェア不正通信ブロック」です。


C&Cサーバとは、外部から侵入して乗っ取ったコンピュータを利用したサイバー攻撃で、踏み台のコンピュータを制御したり命令を出したりする役割を担うサーバコンピュータのこと。


DDoS攻撃やスパムメール配信など、マルウェア感染させられボット化した複数のコンピューターに対してインターネットを通じて指示・制御を行う攻撃側のサーバー。標的型攻撃のように、特定のコンピューターに対して攻撃を行う場合にも用いられる。


サーバだよ

悪い奴だよ

乗っ取ったコンピュータに指示を出す奴だよ

「C&C」の部分は「Command and Control」の略だよ









とは

「コマンド&コントロール(C&C)サーバ」とは、ボットネットや感染コンピュータのネットワークに対し、不正なコマンドを遠隔で頻繁に送信するために利用されるサーバのこと。この用語は、もともと、司令官が目的遂行のために、部隊へ直接指令(command)を送り、制御(control)するといった軍事的な概念から派生したものである。C&Cサーバは、「Internet Relay Chat(IRC)」や正規のWebサイト、ダイナミックDNSサービスを利用することで知られている。例えば、バックドア型マルウェア「BKDR_MAKADOCS.JG」は、セキュリティソフトからの検出を避けるために、自身のC&Cとの通信に「Google ドキュメント」を利用することが確認されている。


マルウェアを使ったサイバー攻撃では、一般的にC&Cサーバが使用されます。C&Cサーバは、サイバー攻撃者がマルウェアに指令を出したり、盗み出した情報を受け取ったりするためボットネットワークをコントロールする指令サーバのことです。ボットはマルウェアの一種で、PCやIoT機器などに感染し乗っ取っていまいます。かつては「ゾンビPC」とも呼ばれていましたが、サイバー攻撃者からの指令を受けると、いいように操られてしまうため、この名前がついたのでしょう。ボットと化したPCは指令サーバとの通信を可能にした上で、発見されないよう必要以上の動きを止め、静かに指示を待ちます。それゆえ、ユーザーが気づかないままPCがボットにされているケースが後を絶ちません。

サイバー攻撃の一種に「標的型攻撃」があります。標的型攻撃は非常に巧妙で、入念な準備と事前調査を行った上で実施されます。こうした攻撃の多くは、高度な技術を持つサイバー攻撃者グループによって行われているとされ、組織や国家に依頼を受けるケースもあるといいます。そのため資金も潤沢で、特定のターゲットを狙うためだけに新種のマルウェアが開発されることもしばしばです。このため、従来のパターンマッチングによるウイルス対策ソフトで検知するのは困難です。

そして、C&Cサーバは標的型攻撃でも使用されています。メールなどを通じてターゲットにマルウェアを侵入させることが成功した場合、サイバー攻撃者はC&Cサーバから乗っ取ったPCへ指令を出して次々にマルウェアを送り込み、感染を拡大させます。こうしてターゲットから重要な情報を盗み、C&Cサーバに送信させるのです。

この際、指令や情報の送信にはWeb閲覧などに使用されるポート80(HTTP)が使用されるため、数多くやり取りされるWebの通信に紛れてしまい、検出は困難です。しかも、サイバー攻撃者はC&CサーバのIPアドレスを頻繁に変更します(10分ごとに変えていたというケースもあります)。これにより、IPアドレスを指定して通信を遮断する対策も難しくなります。


一般家庭のパソコンなどに外部からウイルス感染や不正アクセスなどを仕掛け、利用者に気づかれないように外部から任意に遠隔操作できる接続窓口(バックドア)を設ける攻撃がある。このように外部から乗っ取られた状態のコンピュータを「ゾンビコンピュータ」(zombie computer)という。

攻撃者は侵入に成功したゾンビに個別に接続して直に操作することもあるが、同じマルウェアに何万台も感染させた場合などには、これを「ボットネット」(botnet)と呼ばれるネットワークに組織化し、一度の指示で一斉に同じ動作を行えるように管理する。

その際、各ゾンビへの指示を出し、動作を制御する役割を果たす中央サーバのことをC&Cサーバという。どのような司令を出すかは攻撃者次第だが、ウイルスメールやスパムメールの大規模送信や、一斉に特定のサイトやアドレスに接続を試みて相手方を通信過多で機能不全に追い込むDDoS攻撃(分散DoS攻撃)に利用されることが多い。


外部から不正にコンピューターに指示(コマンド)を送ったり、制御(コントロール)を行う攻撃側のサーバー(コンピューターまたはアプリケーション)。通信手段としてはインスタントメッセンジャーのようなIRC(Internet Relay Chat)が用いられる場合が多い。

C&Cサーバーは、大きく分けると2つの利用の仕方がある。


C&Cサーバ(英:C&C server)とは

乗っ取ったサーバのコントロール役だぜサーバのこと。
もう少し具体的に書くと

不正なプログラムとかを仕込んで自由に操れるようになった踏み台コンピュータに対して「うらぁ!今から我々はムカつく相手に攻撃を仕掛ける!我に従い、おまえらも続けぇ!」な突撃命令を下す司令官コンピュータのこと。
もしくは

コンピュータ内にこっそり仕込まれた不正なプログラムに対して「よし、無事に潜入に成功したな。機密情報を掴んだらこっそり俺に送って寄越せ。バレるんじゃねーぞ」なミッションを指示したり盗んだ情報を受け取ったりする本部の上司ポジションなコンピュータのこと
です。


《C&C server C&Cはcommand and controlの略》サイバー攻撃で、外部からの攻撃者によって操作され、ボットネット指令制御をする中心的サーバー指揮統制サーバー。コマンドアンドコントロールサーバー。C2サーバー

C&Cサーバーとは、サイバー犯罪に関する用語で、マルウェア感染してボットと化したコンピュータ群(ボットネット)に指令command)を送り制御control)の中心となるサーバーのことである。

C&Cサーバーは、通信手段としてIRCInternet Relay Chat)が用いられる場合が多い。そのため、C&Cサーバーを中心として構築されるボットネットは「C&Cボットネット」などの他に「IRCボットネット」などとも呼ばれる

一般的にC&CボットネットはC&Cサーバーを特定して活動停止させれば、ボットネット攻撃停止させることが可能とされる


C&Cサーバとはシステムに侵入した不正プログラム(マルウェア)に指示を送り不正な動作を行わさせるインターネット上のサーバのこと。
C&Cは”Command and Control サーバ”の略称。
企業や個人PCに忍び込んだマルウェア(それ以外にRAT、ウィルスなどに対しても)指令を行うサーバを指す。通常はこのような通信はFirewallなどでブロックされるため通信できない。
そこで例えば通常のWebアクセス(http通信)を偽装して C&C サーバに接続し、応答コードとして動作の指示を受ける。PC内のファイルを検索し、重要そうなファイルをhttp通信を偽装してアップロードする。


「セキュリティに対する重要性は理解したけれど、用語が難しくて」という声を聞くことがよくあります。そんな方にセキュリティの頻出用語を解説します。今回は、「C&Cサーバー」についてです。

C&CサーバーのC&Cは、英語では command & control を短くしたものです。コマンド&コントロール サーバーと記述されることもあります。command & controlとは、軍隊の司令官が作戦を部隊へ指揮 (command) を送り、統制(control) することです(指揮統制)。セキュリティ用語では、これが転じて「指揮と統制を行うサーバー」ということを意味します。


攻撃者がマルウェアに対して指令となるコマンドを送信し、マルウェアが仕掛けられたコンピュータの動作を制御するために用いられる外部の指令サーバのこと。


Command and Control serverの略。サイバー攻撃等の実行にあたり、マルウェアに感染したコンピュータ群が構築するネットワーク(ボットネット)を制御したり、指令を出したりする役割を果たすサーバのこと。



H2候補

  • 「マルウェア不正通信ブロック」で不正な通信を自動的に遮断
  • ボットネットを利用した攻撃
  • 標的型攻撃
  • なぜC&Cサーバを使うのか
  • どのようにしてC&Cサーバと通信するのか

まとめ

参考

  • https://www.trendmicro.com/vinfo/jp/security/definition/command-and-control-c-c-server
  • https://www.ntt.com/bizon/sec/cybersec04-2.html
  • https://e-words.jp/w/C-C%E3%82%B5%E3%83%BC%E3%83%90.html
  • https://eset-info.canon-its.jp/malware_info/term/detail/00062.html
  • https://wa3.i-3-i.info/word12658.html
  • https://www.weblio.jp/content/C%26C%E3%82%B5%E3%83%BC%E3%83%90%E3%83%BC
  • https://securitychecklist.net/security/glossary/CandCServer.html
  • https://blogs.mcafee.jp/29-cc-93ff
  • https://www.sg-siken.com/word/C&C%E3%82%B5%E3%83%BC%E3%83%90.html
  • https://tokiocyberport.tokiomarine-nichido.co.jp/cybersecurity/s/word-0077

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です