( 1 ) C&Cサーバとは?
C&C(コマンド&コントロール)サーバとは、マルウェア(悪意のあるソフトウェア)を用いて乗っ取った複数のコンピュータを、外部から制御・命令する役割を担う攻撃側のサーバです。マルウェアに感染させる手段として、メールの添付ファイルや不正に改ざんされたWebサイトを通じて行われるものが多く、このマルウェア感染によって乗っ取られたコンピュータを「ボット」と呼びます。
被害者はコンピュータがボット化していることに気がつかないことが多く、知らないうちに被害が拡大していきます。攻撃元のC&Cサーバの把握や攻撃に対する防御は極めて困難とされています。
( 2 ) C&Cサーバを利用した攻撃
C&Cサーバを利用した攻撃は、以下の2パターンになります。
ボットネットを利用した攻撃
C&Cサーバと、その指示・制御下に置かれた複数のボットでボットネットワークを形成します。このボットネットワークによって、特定のサーバやWebサイトのサービスに通信の負荷をかけることで障害を起こさせるDDoS攻撃や、ボット化したコンピュータから多量のメールを送信してフィッシング詐欺を引き起こすスパムメール配信などを行います。
標的型攻撃
標的となるコンピュータを直接攻撃するのではなく、社内ネットワークなどで標的とつながるコンピュータをボット化し、そのボットに対して指示・命令を出します。標的型攻撃はとても巧妙で、事前に準備と調査をしたうえで行われます。特定のターゲットを狙うために新たなマルウェアが開発されることもあり、従来のパターンマッチングによるウイルス対策ソフトで検知するのは困難です。
( 3 ) C&Cサーバによる攻撃を防ぐ対策
気づかないうちにマルウェアに感染し、ボット化したコンピュータには以下のような兆候がみられます。
- 勝手にソフトやアプリが起動する
- コンピュータの動作がいつもより重い
- ファイルの名前や場所が知らぬ間に変わっている
- 急にコントロールができなくなる
このような場合には、セキュリティ対策ソフトなどを使用して駆除を行います。
ただし、C&Cサーバを利用した攻撃は、操られている各ボットへの対応だけでは完全に食い止めることができません。ボットに指令を出し操作しているC&Cサーバを特定し、活動を停止させる必要があります。
攻撃者はC&CサーバのIPアドレスを頻繁に変更するため、IPアドレスの指定による通信の遮断では攻撃を防ぎきれないこともあります。このような場合には、不正な通信を検知し自動で遮断するセキュリティツールなどの導入が効果的です。
