C&Cサーバとは？ 知っておきたいサイバー攻撃の手口と対策

サイバー攻撃は年々高度化、巧妙化が進み、私たちが気づかないうちに侵入されて情報などが盗み取られるケースも少なくありません。さまざまなサイバー攻撃が存在する中で、覚えておきたい用語が「C&Cサーバ」です。近年、C&Cサーバを用いた高度なサイバー攻撃も増えているため、対策が欠かせません。

この記事では、C&Cサーバの概要から手口や攻撃の種類、対策方法を解説します。

1. C&Cサーバとは
2. C&Cサーバを利用したサイバー攻撃の手口
3. C&Cサーバが使われるサイバー攻撃の種類
4. C&Cサーバによる攻撃への対策

C&Cサーバとは

C&Cサーバとは、Command（命令）＆Control（制御）サーバーのことであり、遠隔攻撃用のサーバーのことを表します。C&Cサーバは、主にマルウェア感染によって作られた「ボットネット」に命令を送り、制御するものです。ボットネットを形成する端末はパソコンだけでなく、スマートフォンやサーバーも対象となります。C&Cサーバによってボットネットの端末は、情報の盗取やマルウェア感染の拡大、攻撃の踏み台など、さまざまなサイバー攻撃の道具として利用されてしまいます。

C&Cサーバと標的型攻撃の関係

標的型攻撃とは、特定の企業や人物を狙い撃ちにする攻撃の総称です。一昔前のサイバー攻撃は無差別的に攻撃が行われていましたが、近年では標的型攻撃が主流となっています。事前に標的についての情報を集め、より巧妙かつ的確な攻撃が行われます。

近年では、そんな標的型攻撃とC&Cサーバが組み合わされるケースが多くなってきました。メールなどから標的にマルウェアを感染させ、C&Cサーバによってマルウェアを遠隔操作することで、さまざまなサイバー攻撃へと発展させていきます。

C&Cサーバを利用したサイバー攻撃の手口

C&Cサーバを利用したサイバー攻撃は、次のような順序で行われます。

1. マルウェアに感染させる
2. C&Cサーバでマルウェアを操作する
3. さらなるサイバー攻撃へと展開する

攻撃者ははじめに対象者のデバイスにマルウェアを感染させます。メールなどの添付ファイルや、Webサイトからのファイルダウンロードが主な感染経路です。対象者のデバイスが感染すると、見つからないようにC&Cサーバと通信しようとします。このときの通信は、Web閲覧などで使用されるhttp（80番）ポートなどが使用されるため、見つかりづらくなっています。

企業などの組織内のネットワーク内に侵入してしまえば、そこからさらにマルウェア感染を拡大させたり、機密情報を盗み取ったりすることは容易です。さらには、踏み台として別の企業を攻撃したり、フィッシングサイトを構築したりと、さらなるサイバー攻撃へと発展します。

C&Cサーバが使われるサイバー攻撃の種類

C&Cサーバを用いた主なサイバー攻撃としては、次の3種類の攻撃が挙げられます。

標的型攻撃

前述のとおり、標的型攻撃は特定の企業や人物を狙い撃ちにする攻撃の総称です。標的とされた企業などは、事前にしっかりと調査されているため、C&Cサーバと接続された時点で内部状況がほとんど把握されてしまいます。マルウェアに感染したデバイスを中心に、高度なサイバー攻撃が展開されるため、事前にしっかりと対処することが重要です。

大規模攻撃

大規模攻撃は、事前に構築していたボットネットに対して、一斉に命令を送ることでサービスの停止や大量スパムメールの送信などを行う攻撃です。このとき、ボットネットを構成するデバイスは、組織や個人を問わず独自のネットワークの一員として組み込まれています。自身が知らない間に攻撃に利用されていた、というケースもあるため注意が必要です。

待ち受け型攻撃

C&Cサーバが正規のWebサイトを装い、接続してきたデバイスに対して不正な通信を行うことでマルウェアなどに感染させる攻撃です。検索エンジンやメールに記載されているURLなどから誘導するケースが考えられます。

C&Cサーバによる攻撃への対策

C&Cサーバによる攻撃への対策としては、次の対策が有効です。

• OSやアプリケーションを最新に保つ
• セキュリティ対策ソフトを導入する
• 通信を監視する

C&Cサーバによる攻撃は、主にマルウェア感染からはじまります。マルウェアはOSやアプリケーションの脆弱性を狙うため、最新の状態に保つことが重要です。OSやアプリケーションは定期的にアップデートされており、アップデートの中には脆弱性への対策が含まれているため、最新の状態に保つことが重要なのです。また、同様にセキュリティ対策ソフトによってマルウェアを検出する仕組みの導入も有効になります。

加えて、C&Cサーバの攻撃の際にはC&Cサーバに対する通信が発生するため、日頃から通信を監視して不審な通信を検出、遮断する仕組みも有効です。C&Cサーバによる攻撃は、マルウェア感染を含め対象者に見つからないように行われます。人の手では対応が難しい部分も多いため、事前の対策（予防）と感染時の対策を考慮したセキュリティソリューションの導入も検討すると良いでしょう。

C&Cサーバはマルウェアなどを遠隔で操作し、サイバー攻撃を行うためのサーバーです。主な種類としては、標的型攻撃、大規模攻撃、待ち受け型攻撃の3種類が挙げられますが、いずれも対象者に見つからないように動作するため注意しなければなりません。

C&Cサーバの被害に遭わないようにするためには、システム的な対策が重要ですが、人的な対策も欠かせません。一人ひとりのセキュリティリテラシーの向上により、システム的な対策と相互に補完し合うことで、盤石なセキュリティ環境の構築に貢献するからです。

日立ソリューションズ・クリエイトでは、個人と組織の両面からインシデント対応能力向上を強力に支援する「サイバーセキュリティトレーニング」を提供しています。個人のセキュリティ知識を強化する「セキュリティ人材強化トレーニング」と、組織のインシデント対応能力を強化する「セキュリティ組織強化トレーニング」の2つで構成されており、組織全体のセキュリティリテラシー向上に役立てられます。

セキュリティ人材の育成が進まない、インシデント発生時の対応能力に不安がある、などの場合にはぜひ導入を検討してみてはいかがでしょうか。