情報セキュリティ対策|「指令サーバ」と偽装について

指令サーバとは何か

今回は、「指令サーバ」についてご説明したいと思います。

「指令サーバ」という言葉を聞いたことがあるでしょうか?

たとえば、DDoS攻撃を行う場合、数千、数万台というコンピュータ(ボット)に、「指令サーバ」経由でコマンドを送ります。
指令を待つコンピュータは、マルウェアに感染するとこのような「指令サーバ」の命令待ちの状態になります。

「指令サーバ」は、専門用語では「C&C」や「C2」と呼ばれます。(Command and Controlの略)
無関係な第三者のコンピュータを感染させて乗っ取り、攻撃に利用する場合には、このC&Cサーバーが多用されます。

C2だけではない!?

C&Cサーバーは、指示を待つサーバー(多くは踏み台とされるサーバー)に対してコマンドを送るわけですが、
指示を受ける側のログを見れば外部の怪しいサーバーとアクセスをしていると分かります。

しかし、指令を出すのはC&Cサーバーに限りません。

普通のブログ記事やTwitter、Gmailの受信ボックスなどにアクセスして、
そこに書かれたコマンドを取得するといった巧妙なことをやるものすらあります。

表から見れば、単純にブログにアクセスしている、SNSを使っている、としか見えないのです。
特に、HTTPSで通信が暗号化されていれば内容まで解読することはできません。

全てのサービスを遮断することは非現実的です。
このように、防ぎきれない巧妙な手口はあります。

「おかしい動き」を検知するソフトで対処すること、
そしてセキュリティ一般に言えることですが、100%の防御は非常に難しいため、
感染した場合の対処を事前に準備しておくことが肝要です。