セールスセンターサイト

セールスセンター2022.05.10

サイバー攻撃の司令塔「C&Cサーバー」とは?攻撃の手口と対策を解説

サイバー攻撃の司令塔「C&Cサーバー」とは?攻撃の手口と対策を解説

近年、DX推進、クラウド技術の進化、テレワークの普及により、インターネットは非常に重要な社会インフラに成長しました。それに伴って年々サイバー攻撃は急増し、実際の被害や影響範囲も大きくなってきています。
そのサイバー攻撃の要となっているのが、「C&Cサーバー」を中心に構築されたボットネットです。攻撃者は、どのように環境を武器化し、どのように攻撃を仕掛けてくるのでしょうか?

今回は、とある企業のIT部門に所属するセキュリティに精通した中山部長(44歳)と新人セキュリティ担当の石塚さん(24歳)の会話から学んでみることにしましょう。

目次

  1. 1. サイバー攻撃の手口
  2. 2. 組織化された効率的な攻撃
  3. 3. サイバー攻撃の司令塔C&Cサーバーで実行される攻撃の事例
  4. 4. まとめ

1. サイバー攻撃の手口

新人セキュリティ担当の石塚さん24歳石塚

部長、私最近スマートフォンを乗っ取られる内容の映画を観たんですよ…。それで私のスマートフォンとか会社のPCが乗っ取られていないか心配になっちゃって…。

セキュリティに精通した中山部長44歳中山

最近では世界的な情勢もあってウイルス感染での金銭的な被害が急増しているよね。それだけじゃなく、情報漏えいで会社の信用を損ねたり、海外では悪質なハッキングで重要なインフラ設備を破壊されたりする事例も起きていて、情報セキュリティに対する社会的な関心は世界的にますます高まってきているよね。

新人セキュリティ担当の石塚さん24歳石塚

ウイルス対策ソフトはPCに入ってますけど、それだけで大丈夫か心配です…。

セキュリティに精通した中山部長44歳中山

そうだね。ウイルス対策ソフトで守れるものもあるけど、実は100%大丈夫とは言い切れないんだ。

新人セキュリティ担当の石塚さん24歳石塚

そうなんですか!? 確かにスパムメールは最近増えているような気もします。

セキュリティに精通した中山部長44歳中山

そうなんだ。警察庁のデータによると、脅威となる通信パケットの量は、ここ5年間で約4倍にも増加したといわれているよ。

新人セキュリティ担当の石塚さん24歳石塚

4倍ですか!?

セキュリティに精通した中山部長44歳中山

攻撃者も賢くなってきているんだよ。インターネットに接続すること自体が脅威でもあることを私たちも認識しなくてはいけないね。

サイバー空間におけるぜい弱性探索行為等の観測状況 サイバー空間におけるぜい弱性探索行為等の観測状況 出典:「令和3年におけるサイバー空間をめぐる脅威の情勢等について」(警察庁)

C&Cサーバーとは

サイバー空間の脅威は年々増加しており、セキュリティインシデントも増加傾向にあります。サイバー攻撃の手口として代表的なのは、ウイルス感染した多くのコンピューターをC&Cサーバーと呼ばれる攻撃用のサーバーで管理することです。

C&Cは「Command and Control」の略で、コマンド(命令)を送ってコントロール(制御)するという意味です。このC&Cサーバーから指示を出し、一斉かつ大量に攻撃を仕掛けます。また最近では、C&Cサーバーを高度な標的型攻撃に利用するケースも増えています。

攻撃者の手順

ほとんどの場合において、攻撃者が直接的に攻撃を仕掛けてくることはありません。ではどのように攻撃を仕掛けてくるのでしょうか?
まずは攻撃者の手順についてよくある例を紹介します。

偵察

攻撃者はまず時間をかけて攻撃対象を偵察します。メールアドレス、カンファレンス情報、ドメイン情報など公開されている情報からだけでも多くの情報を得ることができますが、PCに対して何らかの行為が行われるわけではないため、こうした受動的な偵察の検出は困難です。

配信

攻撃者は偵察で入手した情報をもとに、メール、SMS、チャットツールなどの経路で、マルウェアの添付や、フィッシングのリンクを埋め込んだスパムメールを配信します。
このように巧妙に作り込まれたメッセージはウィルスソフトの検出をすり抜け、攻撃対象に配信されます。

攻撃

次に、メールのリンクから不正なWebサイトにアクセスさせて情報を盗取したり、マルウェアに感染させたりして攻撃を行います。
これらのWebサイトは、ソフトウェアの弱性を悪用しているのが特徴です。この種の脅威は、ウィルスソフトの検出をすり抜け、ユーザーが気付かないうちに感染するケースも少なくありません。

セキュリティに精通した中山部長44歳中山

C&Cサーバーは直接的に攻撃に利用するものではないんだ。攻撃者も時間をかけて慎重に情報収集を行い、攻撃を実行できる環境を少しずつ構築しているよ。
それから、セキュリティ事故増加要因の一つとして、テレワーク下における一人ひとりの注意力低下が攻撃の成立につながっているのではないかともいわれているよ。

2. 組織化された効率的な攻撃

セキュリティに精通した中山部長44歳中山

ところで、石塚さんはゾンビコンピューターって聞いたことがあるかな? サイバー攻撃には色々な手口があるけど、なかでもハッカーに乗っ取られたPCをゾンビコンピューターというんだよ。

新人セキュリティ担当の石塚さん24歳石塚

ゾンビ…!? 最近ゾンビのドラマにハマってるんですけど、ゾンビコンピューターは聞いたことなかったです。…なんだか怖い! 

セキュリティに精通した中山部長44歳中山

気づかないうちに感染しているゾンビコンピューターは、実は大量に存在しているといわれていて、感染したゾンビコンピューターのネットワークはボットネットと呼ばれているんだ。ちなみにこの用語の語源はRobotからきているよ。

新人セキュリティ担当の石塚さん24歳石塚

まるでロボットの反乱ですね! 最近、暴走するロボットの映画も観たので、ますます怖くなってきました!

セキュリティに精通した中山部長44歳中山

ははは! 動画サイトの見過ぎですよ、石塚さん!(笑)攻撃者は効率的に攻撃を仕掛けるために、大量のゾンビコンピューターでボットネットを形成しているということだよ。攻撃者も組織化していることがわかるよね。

新人セキュリティ担当の石塚さん24歳石塚

攻撃者も組織化するなんて、やっていることは犯罪ですけど、組織運営の仕組みは私たちと同じですね。

セキュリティに精通した中山部長44歳中山

その通りだね! それで、その攻撃の要であり司令塔の役目を担っているのが、C&Cサーバーなんだ。

攻撃者の組織を構成する要素

攻撃者は効率的に攻撃するために、組織化してC&Cサーバーを利用します。ここでは、組織の構成要素にはどのようなものがあるのか見ていきましょう。

ゾンビコンピューター

ゾンビコンピューターとは、ウイルスに感染し遠隔から不正な操作が可能な状態であるコンピューターを指します。おもに、メーカサポート期限切れの古いOSを利用しているケースが挙げられますが、サーバー向けのOSもゾンビ化するリスクがあります。
Webサーバーのように公開されたサーバーはリスクが高く影響も広範囲にあるため、注意が必要です。

ボットネット

ボットネットとは、ユーザーに気づかれないようにPCのシステム情報を抜き取ったり、外部から任意に遠隔操作できる裏口の侵入経路(バックドア)を設けたりすることで、操作可能なPCを組織化することです。
新しいOSのPCでも、脅威リスクの高いWebサーバーへの接続を通じて感染し、ゾンビコンピューター化する可能性があります。

C&Cサーバー

攻撃者はゾンビコンピューターを組織化し、ボットネットというネットワークを構築したあと、一度の指示で一斉に同じ動作を行えるようボットネットを武器化します。その際、命令と制御を通じて直接的に操作する司令塔の役割を果たすのがC&Cサーバーなのです。

C&Cサーバ―を中心に構成された武器化されたネットワーク C&Cサーバ―を中心に構成された武器化されたネットワーク
セキュリティに精通した中山部長44歳中山

IPAが毎年公表している情報セキュリティの10大脅威で取り上げられるさまざまなサイバー攻撃は、規模や形態の違いは多少あるけど、ほとんどすべてにC&Cサーバーが関連しているよ。

3. サイバー攻撃の司令塔C&Cサーバーで実行される攻撃の事例

新人セキュリティ担当の石塚さん24歳石塚

サイバー攻撃の司令塔としてC&Cサーバーが用いられているのですね。具体的にはどうやって指示を出しているんですか?

セキュリティに精通した中山部長44歳中山

C&Cサーバーは、利用者のPCがWebサイトやチャットツール、クラウドサービスにアクセスするときに紛れて指示を出していることが多いといわれているよ。

新人セキュリティ担当の石塚さん24歳石塚

え!? それって誰もが使いますよね? ウイルス対策ソフトで検出できないのでしょうか?

セキュリティに精通した中山部長44歳中山

残念ながらウイルス対策ソフトだけでは100%は防げないと考えるべきだね。
だから普段から、スパムメールのリンクをクリックしない、不要なアプリケーションをインストールしない、OSやアプリケーションを常に最新の状態にアップデートする、といった基本対策がとても重要なんだ。

新人セキュリティ担当の石塚さん24歳石塚

基本的なセキュリティ対策を徹底することが重要なのですね!

セキュリティに精通した中山部長44歳中山

その通り! 基本対策を継続しながら賢く使うことが私たち利用者には求められているんだよ。

C&Cサーバーの攻撃手法

C&Cサーバーは乗っ取ったコンピューターやボットネットに指示を出し、以下のような攻撃を実行しています。

大量送信型の攻撃

C&Cサーバーはボットネットに対し一斉に同じ動作を命令できることから、攻撃対象を機能不全に追い込む攻撃や、一斉にスパムメールを送信するよう命令するなど、大量の攻撃に向いています。

待ち受け型の攻撃

Webサイトを装うタイプのC&Cサーバーも存在します。接続してきたPCに対して不正なデータで応答することでウイルスに感染させたり、バックドアの設置を試行したりするものです。

標的型の攻撃

C&Cサーバーにつながった時点で、ある程度どのような企業や組織が管理するPCなのかがわかるため、そのPCを対象に高度な標的型攻撃に利用されてしまうこともあります。多額の身代金を目的とした企業向けのランサムウェアや、ビジネス詐欺メールなどがその例です。

セキュリティに精通した中山部長44歳中山

C&Cサーバーからの命令はいきなり直接的にくる物ではないからこそ、C&Cサーバーからの攻撃の糸口をしっかり防ぐことが大切なんだ。
IPAでは情報セキュリティ対策の基本を5つに分類してわかりやすく紹介しているから、これを参考に継続的な対策を行っていこう。

実施すべき基本的なセキュリティ対策 実施すべき基本的なセキュリティ対策
出典:「情報セキュリティ10大脅威 2022」(IPA)

4. まとめ

攻撃者は時間をかけてゾンビコンピューターやボットネットを構築し武器化します。そしてC&Cサーバーを利用してあらゆるタイプの攻撃を実行するのです。
私たちがこのような攻撃から身を守るためには、日頃から基本的なセキュリティ対策を継続することが大切です。