連載
» 2016年07月27日 05時00分 UPDATE

セキュリティのアレ(29):C2(C&C)とは (1/2)

セキュリティ専門家が時事ネタを語る本連載。第29回では用語解説シリーズとして、「C2(C&C)」を取り上げます。

[根岸征史(インターネット イニシアティブ), 辻 伸弘(ソフトバンク・テクノロジー株式会社), 宮田健,@IT]
この連載に関するご意見・ご感想・ご質問などはこちらまで!
Twitterハッシュタグ
#セキュリティのアレ

用語解説「C2(C&C)」

 セキュリティ専門家が、時事ネタなどを分かりやすく解説する動画連載「セキュリティのアレ」。今回は“用語解説シリーズ”です。「C2(C&C)」について説明します。

本編(テキスト)

宮田 セキュリティのアレ、第29回は用語解説シリーズです。テーマは「C2(シーツ―)」。「コマンド&コントロール(Command and Control)」です。私はよく「C&C(シー・アンド・シー)」という言い方をしてきたのですが、どちらが正しいのでしょうか?

辻氏 両方とも間違いではなく、人によって呼び方が違います。

根岸氏 どちらも使われますね。ちなみに以前、何かの記事で“コミュニケーション・アンド・コントロール”と呼んでいるのを見たことがありますが、一般的には「コマンド・アンド・コントロール」かと思います。

宮田 C2というのは、何をするものなのでしょうか?

辻氏 C2は、ニュース記事などで「指令サーバ」という言い方をされることもあるように、多くの場合は「攻撃者がマルウェアに感染したコンピュータに指令を送り、遠隔操作するために用いる仕組み」を指します。

 感染している大量のコンピュータを一手に“管理”する役割があり、中には感染しているコンピュータを確認したり、それらに対して操作を行ったりするインタフェースが付いているものもあります。そこから「一斉にここを攻撃」といった指示を行います。「ボットネット」にも近いものですね。

根岸氏 そうですね。例えば、大規模なDDoS攻撃などで「数千台、数万台というボットに、指令サーバ経由でコマンドを送る」といったように使われます。こういうマルウェアに感染すると、コンピュータはC2にアクセスして、攻撃者からの指令を待機する状態になります。

宮田 感染後にマルウェアが勝手に動くのではなく、何らかの指令を待つわけですか。

根岸氏 昔のワームなどのマルウェア、コンピュータウイルスでは、指令を受けず自律的に感染を広げたり、攻撃を仕掛けたりするものもありました。しかし最近のものは、指令を待ち受けるタイプが多くなっています。

宮田 だから、マルウェアに感染した後の不審な動きとして「外部との通信」が挙げられるわけですね。

根岸氏 はい。ただ、最近報道などでよく「外部との不正な通信が行われた」と言われますが、一口に外部との不正な通信と言ってもいろいろなパターンがあることには注意が必要です。

辻氏 最近多いですね。「ロシアと通信していた」とか。外部と通信していたからといって、C2の通信なのかどうかは分かりません。「外部との不正な通信があった」=「C2で遠隔操作されていた」=「標的型攻撃を受けていた」などと捉えられがちなのですが、必ずしもそうではありません。

 例えば、マルウェアが外部と行う通信には「設定ファイルをダウンロードしてくる」ようなものもあります。マルウェアの中には「金融機関のサイトなどにアクセスしたときに、本来は表示されないポップアップ画面などを出して、ID、パスワードを入力させる」ものがありますが、こういうマルウェアは、「このサイトにアクセスしたときに、このHTMLのポップアップ画面を表示させる」という設定ファイルを取得するために、外部と通信することがあります。

根岸氏 他にも、いわゆる「ダウンローダ」のように、「最初に感染したプログラムがマルウェア本体をダウンロードしてくる」通信もありますね。ダウンローダ自体は無害ですが、マルウェアをダウンロードする通信は不正です。

辻氏 最近のランサムウェア「Locky」も、始めにメールでJavaScript(.js)ファイルが届き、それが実行されるとjsファイル内のURLからランサムウェアをダウンロードするものでした。これも不正な通信の例です。

根岸氏 こういうものは、基本的にC2とは言わないですよね。

辻氏 私は、C2とは呼ばないですね。指令を送っていませんから。

根岸氏 ただ、JTBの件で出た「ELIRKS(エリークス)」というマルウェアは、感染後にまず一般的なブログにアクセスし、その中にエンコードされている“本当の”C2の接続先IPアドレスを取得してから、C2に通信をしにいくというものでした。

 これについては、最初のブログの方を“ファーストステージC2”、次の本当のC2の方を“セカンドステージC2”と呼んでいるセキュリティベンダーの解説がありました。「接続先のIPアドレスを知らせるのも指令の1つだ」と解釈すれば、確かにそうともとれます。

辻氏 ELIRKSのような場合は、ベンダーによって解釈が分かれるかもしれませんね。とはいえ、ニュースなどを読んでいて、「外部との不正な通信が行われた」と書かれていただけで、「C2の通信だ」と受け取ってほしくはないと思います。ここまで挙げてきたように、不正な通信にはC2以外にもさまざまな種類があります。

       1|2 次のページへ

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

@IT Special

- PR -

TechTargetジャパン

この記事に関連するホワイトペーパー

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。