コマンド&コントロール攻撃とは

C&Cは、C2とも呼ばれ、サイバー犯罪者が標的企業のネットワーク内にある侵害されたデバイスと通信する場合に使用する手法です。 

C&C攻撃では、攻撃者はサーバーを使用して、マルウェアに感染したコンピューターにコマンドを送信したり、データを受信したりします。このサーバーは、C2またはC&Cサーバーとも呼ばれます。攻撃者は、サーバーを使用して、データ検知、マルウェアの拡散、サービス拒否 (DoS) 攻撃など、標的のネットワーク上でさまざまな悪意のあるアクションを実行できます。サーバーは、感染したデバイスのネットワークであるボットネットの拠点としても機能します。C&C通信は、ネットワーク上で攻撃を実行したり、他のアクターに悪意のあるサービスを提供したりするプロセスにおける重要な手順です。

一部の攻撃者は、既存のクラウドベースのサービスを使用してC&Cサーバーを隠して検知を回避します。被害者のPCまたは組織と、ハッカーが制御するプラットフォーム間には、1つ以上の通信チャネルが存在する可能性があります。攻撃者は、これらの通信チャネルを使用して、侵害されたデバイスに指示を送ります。DNSはC&C攻撃の通信に広く使用されている通信媒体です。

C&C攻撃の仕組み

C&C攻撃はサイバー攻撃者により入念に作成されており、次の段階に分類できます。

1. エントリポイント

攻撃者は標的のネットワークに侵入するためにマルウェアを配信して攻撃を開始します。通常のマルウェアの配信方法には、フィッシングメール、ドライブバイダウンロード、盗み出した認証情報による不正アクセス、脆弱性の悪用などがあります。攻撃が成功すると、攻撃者は次の段階に進みます。

2. C&C接続の確立

バックドアが標的のネットワークに侵入した後、攻撃者はC&Cチャネルを使用して、ネットワーク内にある侵害されたマシンとマルウェアに指示を与え、制御します。

3. ラテラルムーブメントと持続化

ネットワークに侵入すると、攻撃者はさらにマシンを侵害して認証情報を収集し、特権レベルを昇格させ、侵害されたネットワークを永続的に制御します。

4. データの検出

攻撃者は、いくつかの手法を採用して、価値の高いデータが含まれている貴重なサーバーやシステムを特定します。

5. データの流出

データを収集すると、サイバー犯罪者は盗み出したデータを内部のステージングサーバーに移動させ、そこでデータをチャンク化して圧縮し、多くの場合暗号化してから外部に転送します。

C&C攻撃の種類

攻撃者がC&C接続を確立すると、複数の攻撃を順番に実行することができます。次に例を示します。

サイバースパイ活動におけるC&C攻撃

サイバースパイは、主に極秘データや機密データ、企業秘密、その他の形式の知的財産 (IP) を収集する手段として利用されます。これらのデータは、攻撃者が地政学的な優位性を生み出したり、競争力を得たり、金銭的利益のために販売したりするために用いられる可能性があります。C&Cが開始した侵害には、個人情報や疑わしいビジネス慣行を無断で公開することで、被害者に風評被害を与えることだけが目的の場合もあります。

サイバースパイ攻撃は、軍事作戦と連動したり、サイバーテロやサイバー戦争として展開されたりすることもあります。サイバースパイの影響は、特にそれがより広範な軍事行動や政治運動の一環である場合、公共サービスやインフラを混乱させ、人命の損失につながる恐れもあります。

多くの場合、被害者の組織へのエントリポイントを取得するために使用される手法に関係なく、サイバースパイ攻撃は、機密データを盗むためにC&C接続を確立することに依存しています。

検知および防御

C&C攻撃の実行時に、サイバー犯罪者は多くのイノベーションを使用します。C&C攻撃は、大きな脅威をもたらす個々のアクションが小さすぎて検知されないため従来のセキュリティツールをバイパスできる「ローアンドスロー」手法を使用します。このような攻撃は、長期間にわたり実行することを意図しており、データ転送や接続レベルの中断を最小限に抑えることで、本物のトラフィックに入り込んでいきます。

C&C攻撃は簡単に検知されないため、組織のシステムに対する不正なアクティビティをモニターするには、膨大なリソースが必要になる可能性があります。組織には、次の重大な質問に確実に答える機能を提供できる強力な検知および防御システムが必要です。

1. ネットワーク内にC&C活動はありますか？
2. 一般的なボットネットですか、それとも標的型攻撃の可能性がありますか？
3. どの程度のリスクがありますか？
4. 制御しているのは誰で、どこにいるのですか？
5. セキュリティツールはC&C攻撃を即座にブロックして修復できますか、それともリスクに手動で対処する必要がありますか？

C&C攻撃の兆候

攻撃の最終段階におけるC&C通信の極めて重要な役割を考慮すると、悪意のあるC&Cトラフィックをプロアクティブに検知することは、この不正なアクティビティを明らかにすために不可欠な要素です。実際、ほとんどの注目度の高い標的型攻撃は、セキュリティ防御側が悪意のあるネットワーク通信を監視していれば発見できたはずです。

組織は、ネットワークパケットを検査し、次のようなあらゆる種類のC&C構成パターンに対して調査することで、悪意のあるネットワーク通信を監視できます。

• 既知のC&C URLパス
• 悪意のある可能性のあるドメインまたはよくあるドメイン名
• 不審なパケットヘッダー
• 不審なネットワーク通信
• 通常と異なるポートとプロトコル

これらのC&C攻撃に一貫した兆候により、組織はネットワーク内に進行中のサイバー攻撃キャンペーンが存在するかどうかを確認することができます。キャンペーンのネットワーク通信の変更は知られていませんが、キャンペーンのC&Cネットワークトラフィックパターンは、脅威アクターが使用するサーバー、ドメイン、またはマルウェアよりも変更が困難です。

C&C攻撃からの防御

組織は、次の機能を提供するセキュリティツールを使用して、C&Cアクティビティを確実に検知するためにプロアクティブな措置を講じる必要があります。

すべてのトラフィックのスキャンとフィルタリング

C&Cチャネルは有効なドメインネームシステム (DNS) データと混在することが多いため、不正なネットワークトラフィックの暗号化（多くの場合、DNSトンネリング操作で使用される）や見慣れないサーバーへのトラフィックなどの疑わしいアクティビティを検知するには、着信トラフィックと発信トラフィックの検査が不可欠です。

不審な振る舞いのモニター

トラフィックの異常は、感染したワークステーションやマルウェアのアクティビティを示している可能性があります。また、お使いのツールの不審なアクティビティを監視する機能が、システムから大容量のデータファイルを転送しようとする試行を検知できるかどうかを確認する必要があります。

エンドポイント保護ソフトウェアによるシステムのスキャン

実戦試験が実施されたエンドポイント保護（理想的にはEDR（エンドポイント検知・対応））を使用することで、ホストコンピューターからマルウェアのアクティビティを検出して根絶することができます。これにより、C&Cサーバーとの通信に使用されるウイルスが削除され、秘密の通信ルートをブロックすることができます。

C&C攻撃の結果

攻撃者が組織に対するエントリポイントを確立するために使用するアプローチに関係なく、C&C通信用にチャネルが開かれると、攻撃が検知されない場合、必ずデータ侵害が発生します。そのため、C&C攻撃は標的の被害者に対して広範囲にわたり悪影響を与えます。

C&C攻撃が成功しデータ侵害が発生すると、企業のリソースが枯渇し、ビジネス活動のコストが増加します。このような攻撃は、企業を倒産させ、廃業につながる連鎖反応を生む可能性があります。

Ponemon InstituteのCost of a Data Breach 2022レポートによると、データ侵害の平均コストは2023年に500万米ドルに達すると予想されています。データ侵害のコストには、身代金の支払い、業務の中断による収益の損失、インシデント対応費用、弁護士費用、規制当局に支払う罰金などが含まれます。

クラウドストライクのソリューション

エンドポイント保護技術はマルウェアやC&C攻撃のような脅威に対する防御の最前線です。クラウドストライクのエンドポイント保護ソリューションは、数分で有効になり、24時間365日対応できるため、中小企業 (SMB) は複雑な設定をせずに最先端の保護を簡単に利用できます。

CrowdStrike Falcon^®プラットフォームは、統一されたサイバーセキュリティプラットフォームを使用して侵害を阻止し、初期アクセスからコマンド&コントロール、そして流出までMITRE ATT&CK^®フレームワーク全体にわたるハンズオンキーボード攻撃者の活動を明らかにします。