C&Cサーバーとは?

C&Cサーバーは、Command and Control Serverの略語で、ハッカーが行う一連の攻撃活動における司令塔として機能する。

APT(高度かつ持続的脅威)攻撃の場合、ハッカーがターゲット企業に送り込んだマルウエアを遠隔操作するための通信の中継拠点となり、都度盗み出した情報を分析しながら、さらにマルウェアに指示を出していく。

また、DDoS攻撃の場合は、実際の攻撃を担うボットとなっている1台1台のコンピュータ(またはIoT機器など)を管理し、また、実際に攻撃を行う際には、その指令を出す拠点となる。

実際には、どのように利用されるのか?

ハッカーは、事前調査活動により得られた情報に基づき、タイトルに、東京労働局(品川労働基準監督署)からの「労災保険2017年度改定についてのお知らせ」などとして、マルウェアをメールに添付して、ターゲット企業の特定の従業員のメールアドレス(または特定部門のグループアドレス)に送付する。

一旦、受信者がその添付ファイルをクリックしてオープンすると、マルウェアが自動的にインストールされ、その後は「小さなスパイ」として活動を行うことになる。

その際、このようなAPT攻撃では、侵入したマルウェアが上記のC&Cサーバーと通信を行いながら、ターゲット企業内のネットワークを通じて移動し、最終的には機密情報を取り扱っているサーバーから情報を盗み出すための活動を行う。

C&Cサーバーを見つけることができるか?

一般の人には、分析する元のデータがないので、不可能。

コンピュータセキュリティの専門家(その大部分は、Googleやマイクロソフトなどの巨大ITサービス事業者のセキュリティチーム、およびアンチウイルスやファイアウォールなどのセキュリティ関連事業者にいる)は、顧客内で動作している自社製品からのフィードバック、および、IPレピュテーション事業者が提供している情報などと総合して分析し、評価を行うことができる。

その結果、特にセキュリティ上のリスクが大きいと判断する場合は、ブラックリストとして、自社製品に反映し、さらに、自社webサイト上などでリスク情報を公開する。

IPレピュテーションを行っている事業者は、常にこのC&Cサーバーの動向に着目し、追跡している。

ハッカーがC&Cサーバーが使えなくなるとどうなるのか?

基本的に、企業に侵入したマルウェアがC&Cサーバーとの通信ができなくなると、APT攻撃は継続できなくなり、そのまま中断される。

そのため、ハッカーは、APT攻撃の途中でC&Cサーバーがフィルタリングされることを予測し、バックアッププランを常に持っているものと想定される。