C&Cは”Command and Control”(命令+制御)の略称で、C&C通信とは外部から被害者のPCを乗っ取り、操作する攻撃です。今回はC&C通信による攻撃がどのようにして行われるのか解説していきます。
攻撃者は、被害者のPCに対して不正アクセスを仕掛けたり、被害者にマルウェアをインストールさせることによって、被害者のPCを遠隔操作できる状態を作ります。
被害者のPCは見た目は通常と変わらない動作をするため、攻撃を受けていることに気が付かないケースが多く、攻撃者はC&C通信を行うことで被害者のPC内にある機密情報を攻撃者宛てに送信させたり、他者へメールを送信させたりすることができます。
この状態になったPCをボットやゾンビコンピュータと呼びます。また、ボットに対してC&C通信を行うPCをC&Cサーバと呼びます。
攻撃者はボットからマルウェアを添付したメールを拡散することによって、さらにボットを増やしていくことができます。それらのボットはボットネットと呼ばれる1つのネットワークに集約され、C&Cサーバは全てのボットに対して同時に命令を行うことができます。
大量のボットを用意できれば、攻撃者はC&C通信を使用して大規模な攻撃を行うことが可能です。例えば大量のボットから1つのWEBサイトに対して一斉に通信を行うことで、通信過多による機能不全を引き起こす攻撃や(DDoS攻撃)、マルウェアを添付したメールやスパムメールを一斉に送信する攻撃が考えられます。
C&C通信はファイアウォール(FW)やIPS/IDS、EDRなどのセキュリティ製品によって対策を行うことが一般的です。セキュリティ監視ではこれらの製品と連携してC&C通信を検知・通知します。
ただし、C&C通信は一般的なHTTPリクエストと同じ80番ポートを使用するため他のリクエストに紛れてしまい、必ずしも検知できるとは限りません。そのため、そもそもマルウェアに感染しないよう心掛けることや、マルウェアを検知するセキュリティソフトを導入するなど、多段的な対策が重要になります。
今回の解説は以上になります。お読みいただきありがとうございました。
お見積り・ご相談など、お気軽にご相談ください
サイトTOPへ
