C2サーバ(Command and Control Server)
| 執筆者: | ニュートン・コンサルティング 編集部 |
各種のサイバー攻撃において、大きな役割を果たしているのがC2サーバ(C&Cサーバ)です。近年の複合的な手法、技術を使ったサイバー攻撃においても各種の指令を伝える拠点となっており、被害事例の多いランサムウェア攻撃でも利用されています。
本記事は、C2サーバの定義やサイバー攻撃内での役割、被害例などについて説明します。組織にとってどのような脅威なのかを確認し、セキュリティ強化にお役立てください。
C2(Command and Control)サーバとは?サイバーセキュリティにおける基本定義
C2サーバは、サイバー攻撃の指揮系統を担う拠点として利用されるサーバです。
サイバー攻撃者は、ターゲットをマルウェアに感染させたのち、直接マルウェアに感染した端末にアクセスするのではなくC2サーバと通信を行います。C2サーバからマルウェアに感染している端末に対し、攻撃となる命令の実行やマルウェアの拡散、外部通信などを指示します。C2サーバを経由することで、ターゲットの端末に対する遠隔操作を実現する仕組みです。
C2サーバは、攻撃者が用意した外部の匿名サーバを指します。他にも、複数サーバを組み合わせてC2のための機能を構成して「C2インフラ」を形成し、検知を逃れるために通信先を頻繁に切り替える巧妙なケースも見られます。
サイバー攻撃では以前より存在していたC2サーバですが、近年の強化されたマルウェアやランサムウェアによる攻撃でも利用は続いています。
また、C2サーバは役割を果たすために継続的に稼働するよう作られています。検知されづらいように少しずつ外部への通信を行い、長期間を掛けて攻撃する傾向が強い点が特徴です。
セキュリティ分野におけるC2の正しい名称と表記
C2サーバは、正式名称は「Command and Control Server」、日本語では省略してC2サーバやC&Cサーバと表記されることが標準的です。いずれもサイバーセキュリティ分野では、攻撃対象の遠隔操作のためのサーバを意味します。
軍事や災害対応においてもCommand and Control(C2、C&C)という用語が使われており、「指揮・統制」という意味を持ちます。「サーバ(サーバー)」という語句がつかない場合には、文脈によって軍事・災害対応分野での用語を指すことがあります。
C2がもたらすサイバー攻撃の全体像と具体的な脅威
C2サーバは、各種のマルウェア感染に端を発し複合的に実現されるサイバー攻撃の構成要素です。攻撃の流れの中での役割と想定される被害について説明します。
指令を出すC2サーバと標的型攻撃の流れ
標的型攻撃の典型的な例として、下記の流れが想定されます。
発端となるのは最初のマルウェア(ボット、エージェント)への感染です。ソーシャルエンジニアリングやフィッシング、不正操作などを入口にマルウェアに感染させます。具体的には、メールやWebサイトでの悪意のあるリンクへのアクセスや、ソフトウェアの脆弱性を突いた侵入によりマルウェア感染を引き起こします。
端末をマルウェアに感染させると、組織のネットワーク内部で感染拡大を試みます。そして、マルウェアは組織のネットワーク内のリソースや外部の匿名サーバを用いて、複数に分散したC2サーバを形成します。
C2サーバを形成した後は、各端末に拡散したマルウェア(ボット、エージェント)間の通信の確立を試みます。通信経路が確立すると遠隔操作が行われる基盤が作り上げられてしまいます。そして、C2サーバはサイバー攻撃者からの通信を受け、ボットやエージェントに指示を行い下記のような攻撃を展開します。
- データの窃取と外部への送信
- コマンドの遠隔操作(端末のシャットダウン、再起動など)
- 分散サービス拒否
- スパムメール送信
- マルウェア感染の拡大(ランサムウェア含む)
組織が受ける深刻な被害
C2サーバを利用した標的型攻撃などにより、組織が受ける被害は多様です。その一例として、下記が挙げられます。
- データなどのデジタル資産の外部漏洩
- ランサムウェア感染による業務の停止
- マシンの起動停止などの遠隔操作による業務への悪影響
- セキュリティ対策の弱体化
- 不正操作による金銭などの被害
このうちセキュリティ対策の弱体化については、C2サーバの指示によりセキュリティソフトウェアの停止、権限設定の改ざんなどが想定されます。
C2サーバの脅威の本質は「組織のネットワーク・情報を遠隔から継続的に支配・悪用される状態に陥ること」です。この脅威の被害は、情報漏洩から始まり、発生後の対応が適切でない場合は業務停止や組織としての信用失墜にまで段階的に拡大する恐れがあります。
組織がC2の脅威から身を守るために取るべき対策
C2サーバを利用したサイバー攻撃は経路も複数考えられるため、対策には多層防御が必要となります。セキュリティベンダーなどと協力して、包括的な防御態勢を築くことが重要です。
技術的対策として、マルウェアへの感染を防ぐ、外部からの侵入を防ぐ境界対策が挙げられます。多要素認証やセキュリティ更新の適用により脆弱性をなくすことや、ファイアウォール、IPS、IDSなどの仕組みの導入が有効な手段です。
また、技術的な対策にはマルウェアの通信を検知し遮断することで被害を抑えるものもあります。ネットワーク通信の監視、振る舞い検知、EDRやDLP、SIEMなどのソリューションを用いた対策などが可能です。
C2サーバを利用した攻撃では発端にはマルウェアへの感染があるため、組織的対策により従業員の知識向上や各端末の状態を最新化することも必要です。標的型メールやフィッシングなどに関する周知や訓練の実施、脆弱性対応パッチの早急な適用が可能な組織構成などが具体策となります。
C2サーバの特性から考えると、対策の本質は「侵入を完全に防ぐ」ことではなく、「C2通信を成立させず、長期に支配下に陥らない」ことにあります。そのため、ネットワーク通信の監視、振る舞い検知などの拡大防止策が重要になると同時に、感度を高めるための人的教育も必須です。
まとめ:C2の脅威を理解し、セキュリティ体制の継続的な強化へ
C2サーバは、サイバー攻撃における指示を中継するサーバです。サイバー攻撃者とターゲットの端末の間で指示を仲介し、悪意のある遠隔操作を行います。ランサムウェア攻撃をはじめとした各種の攻撃に利用される手法です。
C2サーバの指令により、組織には情報漏洩、業務の停止、セキュリティ対策の弱体化などの被害が起こり得ます。こうしたC2サーバを用いた攻撃に対しては、技術的対策と組織的対策を組み合わせた包括的なセキュリティ確保が重要です。
