セキュリティの
学び場

C&C通信とは

C&Cは”Command and Control”（命令＋制御）の略称で、C&C通信とは外部から被害者のPCを乗っ取り、操作する攻撃です。今回はC&C通信による攻撃がどのようにして行われるのか解説していきます。

C&C通信による攻撃はどのように行われる？

攻撃者は、被害者のPCに対して不正アクセスを仕掛けたり、被害者にマルウェアをインストールさせることによって、被害者のPCを遠隔操作できる状態を作ります。

被害者のPCは見た目は通常と変わらない動作をするため、攻撃を受けていることに気が付かないケースが多く、攻撃者はC&C通信を行うことで被害者のPC内にある機密情報を攻撃者宛てに送信させたり、他者へメールを送信させたりすることができます。

この状態になったPCをボットやゾンビコンピュータと呼びます。また、ボットに対してC&C通信を行うPCをC&Cサーバと呼びます。

攻撃者はボットからマルウェアを添付したメールを拡散することによって、さらにボットを増やしていくことができます。それらのボットはボットネットと呼ばれる1つのネットワークに集約され、C&Cサーバは全てのボットに対して同時に命令を行うことができます。

C&C通信による大規模攻撃

大量のボットを用意できれば、攻撃者はC&C通信を使用して大規模な攻撃を行うことが可能です。例えば大量のボットから1つのWEBサイトに対して一斉に通信を行うことで、通信過多による機能不全を引き起こす攻撃や（DDoS攻撃）、マルウェアを添付したメールやスパムメールを一斉に送信する攻撃が考えられます。

C&C通信への対策

C&C通信はファイアウォール（FW）やIPS/IDS、EDRなどのセキュリティ製品によって対策を行うことが一般的です。セキュリティ監視ではこれらの製品と連携してC&C通信を検知・通知します。

ただし、C&C通信は一般的なHTTPリクエストと同じ80番ポートを使用するため他のリクエストに紛れてしまい、必ずしも検知できるとは限りません。そのため、そもそもマルウェアに感染しないよう心掛けることや、マルウェアを検知するセキュリティソフトを導入するなど、多段的な対策が重要になります。

今回の解説は以上になります。お読みいただきありがとうございました。