C&Cサーバとは?マルウェア感染したPCからの攻撃の自動遮断による対策方法
印刷標的型攻撃や不正送金、情報漏えいなどによる被害が後を絶ちません。こうした被害を防止するためには、マルウェアに感染させた「ゾンビPCやIoT機器」などを操って情報を盗み出すC&Cサーバとの通信を遮断する手段が有効です。そのひとつが、C&C(コマンド&コントロール)サーバとの通信を自動ブロックする「マルウェア不正通信ブロック」です。
標的型攻撃でも使用される「C&Cサーバ」
マルウェアを使ったサイバー攻撃では、一般的にC&Cサーバが使用されます。C&Cサーバは、サイバー攻撃者がマルウェアに指令を出したり、盗み出した情報を受け取ったりするためボットネットワークをコントロールする指令サーバのことです。ボットはマルウェアの一種で、PCやIoT機器などに感染し乗っ取っていまいます。かつては「ゾンビPC」とも呼ばれていましたが、サイバー攻撃者からの指令を受けると、いいように操られてしまうため、この名前がついたのでしょう。ボットと化したPCは指令サーバとの通信を可能にした上で、発見されないよう必要以上の動きを止め、静かに指示を待ちます。それゆえ、ユーザーが気づかないままPCがボットにされているケースが後を絶ちません。
サイバー攻撃の一種に「標的型攻撃」があります。標的型攻撃は非常に巧妙で、入念な準備と事前調査を行った上で実施されます。こうした攻撃の多くは、高度な技術を持つサイバー攻撃者グループによって行われているとされ、組織や国家に依頼を受けるケースもあるといいます。そのため資金も潤沢で、特定のターゲットを狙うためだけに新種のマルウェアが開発されることもしばしばです。このため、従来のパターンマッチングによるウイルス対策ソフトで検知するのは困難です。
そして、C&Cサーバは標的型攻撃でも使用されています。メールなどを通じてターゲットにマルウェアを侵入させることが成功した場合、サイバー攻撃者はC&Cサーバから乗っ取ったPCへ指令を出して次々にマルウェアを送り込み、感染を拡大させます。こうしてターゲットから重要な情報を盗み、C&Cサーバに送信させるのです。
この際、指令や情報の送信にはWeb閲覧などに使用されるポート80(HTTP)が使用されるため、数多くやり取りされるWebの通信に紛れてしまい、検出は困難です。しかも、サイバー攻撃者はC&CサーバのIPアドレスを頻繁に変更します(10分ごとに変えていたというケースもあります)。これにより、IPアドレスを指定して通信を遮断する対策も難しくなります。