IT用語集 2024/07/19

C&C サーバーとは？ 10分でわかりやすく解説

コラム

C&Cサーバー（Command and Controlサーバー）は、マルウェアに感染した端末群（ボットネット）を遠隔から操るための「指令系統」です。攻撃者はC&Cを通じて命令を配布し、情報窃取や追加感染、ランサムウェア展開、DDoSなどを段階的に実行します。本記事では、C&Cサーバーの仕組みと通信の特徴、検知の考え方、企業が取るべき対策と初動の要点を整理し、現実的な判断材料を提供します。

C&Cサーバーとは何か

C&Cサーバーとは、ボットネットの中枢として機能する指令・制御（Command and Control）用の仕組みです。ボットネットは、不正アクセスやマルウェア感染により乗っ取られた多数の端末（ボット）で構成され、攻撃者の意図に沿って動作します。C&Cはそのボットに命令を届け、実行結果や窃取した情報を回収する役割を担います。

C&Cサーバーの役割

C&Cサーバー（またはC&C機能）が担う代表的な役割は次のとおりです。

命令の配布（攻撃実行、設定変更、追加ファイルの取得など）
情報の収集（端末情報、資格情報、操作ログ、窃取データなど）
ボットネットの維持（更新、再感染、通信先変更、稼働状況の監視など）

C&Cは「攻撃の司令塔」であると同時に、侵入後の活動（攻撃の継続・拡大）を支える基盤です。侵入そのものを完全に防げない前提に立つと、C&C通信を早期に捉えて遮断できるかどうかが、被害の大きさを左右します。

ボットネットとC&Cの関係

典型的な流れは、(1)端末が感染する、(2)端末が外部のC&Cへ到達して命令を受け取る、(3)命令に従い攻撃行為や追加感染を実行する、という段階で進みます。最初は目立たない通信だけを行い、環境の偵察や資格情報の窃取を経て、最終的に大規模な破壊活動に移行するケースもあります。

C&Cが「サーバー1台」とは限らない理由

現実のC&Cは、単一の固定サーバーとして存在するとは限りません。追跡や遮断を避けるために、通信先を頻繁に切り替えたり、分散化したりする手法が用いられます。代表例は次のとおりです。

手法	概要	狙い
DGA（ドメイン生成）	一定のアルゴリズムで多数の候補ドメインを生成し、その一部を通信先にする	ブロックやテイクダウンへの追従を困難にする
Fast Flux	DNS応答のIPアドレスを短時間で切り替える	実体の追跡・停止を難しくする
P2P型	ボット同士が通信し、命令や情報を分散して伝達する	中央集権を弱め、停止耐性を高める

このため、C&C対策は「既知のIP/ドメインを止めれば終わり」にはなりにくく、通信パターンや端末挙動を含む複合的な監視が重要になります。

C&C通信の特徴と検知の考え方

C&Cサーバーそのものを「見つける」ことよりも、組織内端末がC&Cと通信している兆候を捉え、遮断・封じ込めにつなげることが現実的です。C&C通信は暗号化されることも多く、内容が見えない前提で、通信の形と周辺情報から判断します。

ネットワーク上で見える典型的な兆候

一定間隔でのビーコン通信（小さな外向き通信が周期的に発生する）
業務上の利用が想定しにくい宛先への通信（新規ドメイン、短命ドメイン、未知のASNなど）
通信先のドメインやIPが短い周期で変わる
端末台数に比して不自然に多い外部DNS問い合わせ、NXDOMAINの増加
TLS通信が急増しているのに、利用実態（業務アプリ）が説明できない

端末側（エンドポイント）で見るべき兆候

通信が暗号化されていても、端末側には手がかりが残ることがあります。以下は代表的な観点です。

不審なプロセスが外部通信を発生させている（正規ソフトの偽装を含む）
永続化の試み（自動起動設定、スケジュールタスク、レジストリ変更など）
資格情報へのアクセス（LSASSやブラウザ保存情報への不審な参照など）
管理者権限の取得や権限昇格の痕跡

「誤検知」と「見逃し」を減らす設計視点

C&C検知は単発の指標だけでは判断が難しく、誤検知も起きやすい領域です。次のように相関（関連付け）できるログ設計にしておくと、現場での判断が速くなります。

DNSログ（問い合わせ元端末）とプロキシ/SWGログ（アクセスURL）、FWログ（宛先IP/ポート）を端末単位で追える
EDRのプロセスツリーと外部通信情報を突合できる
「その端末は何の業務端末か」「いつから挙動が変わったか」を確認できる資産台帳がある

遮断・隔離の判断は、業務影響とのトレードオフになります。だからこそ、平時からログの取り方と判断基準を整備し、初動で迷う時間を減らすことが重要です。

C&Cが引き起こす攻撃と被害の広がり方

C&Cは、攻撃者が侵入後に主導権を握り続けるための装置です。攻撃は「感染＝即DDoS」ではなく、情報収集→権限奪取→横展開→破壊と段階的に進むことがあります。ここでは代表的な攻撃と、業務への影響を整理します。

代表的な攻撃パターン

DDoS攻撃：多数のボットで大量通信を生成し、サービスや回線を枯渇させる
情報窃取：認証情報、顧客データ、設計資料などを収集し、外部へ送信する
追加マルウェア投入：バックドアやランサムウェアなど別の機能を後から配布する
スパム配信・なりすまし：感染端末を踏み台にして大量送信し、対外的な信用を損なう
内部拡散（横展開）：同一ネットワーク内の端末へ感染を広げ、被害範囲を拡大する

企業が受ける主な影響

影響	具体例	起きやすい二次被害
業務停止	基幹システム停止、VPN/回線逼迫、端末隔離による業務停滞	復旧遅延、顧客対応負荷の増大
情報漏えい	資格情報や個人情報の流出、設計・機密資料の持ち出し	不正ログイン、不正送金、取引先への波及
信用毀損	スパム送信元としてのブラックリスト登録、取引停止	ブランド毀損、監査・説明コスト

重要なのは、C&C通信が成立している時間が長いほど、攻撃者が環境を観察・準備する時間も長くなる点です。結果として、被害が「ある日突然大きく見える」形で顕在化しやすくなります。

C&C対策の基本方針

C&C対策は、侵入を前提に「早く気づき、早く止め、広げない」設計が核になります。実務では、予防・検知・封じ込め・復旧の各工程を切り分け、どこで何を担保するかを明確にします。

予防（侵入の確率を下げる）

OS/ブラウザ/アプリの更新と脆弱性管理を徹底する
不要な管理者権限を排し、最小権限を維持する
メール/ウェブ経由の初期侵入（フィッシング、ドライブバイ）への対策を強化する
多要素認証（MFA）を要所に適用し、資格情報窃取の影響を減らす

検知（C&C通信や侵入後活動に気づく）

DNS、プロキシ/SWG、FW、EDRのログを収集し、端末単位で追跡できるようにする
ビーコン通信、DGA疑い、未知ドメインへのアクセス増加などを検知観点として持つ
正規通信に見せかける手口もあるため、平時ベースライン（通常時の挙動）を把握する

遮断・封じ込め（被害拡大を止める）

疑わしい宛先への通信遮断（DNSフィルタ、プロキシ、FW）を迅速に実施できる運用を整える
感染疑い端末を隔離（ネットワーク分離、EDR隔離）し、横展開を防ぐ
重要システムはネットワーク分離やアクセス制御で保護し、被害波及を抑える

復旧・再発防止（同じ条件を残さない）

侵入経路（メール、脆弱性、資格情報流出など）を特定し、根本原因を除去する
ログ設計・検知ルール・権限設計を見直し、次回の初動を速くする
手順の机上演習や訓練を行い、判断の迷いを減らす

ネットワークレベルでのC&C対策

ネットワーク対策は、C&C通信の成立を妨げることと、通信の兆候を追跡できるようにすることが目的です。遮断だけを増やすと業務影響が出るため、ログと判断基準のセットで整備します。

DNSフィルタリングと名前解決の監視

DNSはC&C通信の入口になりやすい要素です。悪性ドメインの遮断だけでなく、DGAや短命ドメインの傾向など、挙動としての異常も監視対象にします。

悪性ドメイン・新規作成ドメイン・不審TLDへのアクセス制御
端末単位でのDNS問い合わせ量、NXDOMAIN率の監視
業務端末が「普段使わない種類のドメイン」を引いていないかの確認

プロキシ/SWGとFWによる外向き通信の統制

外向き通信を「必要なものだけ」に寄せるほど、C&Cは活動しにくくなります。一方で、クラウド利用が多い環境では例外が増えがちです。例外管理の運用を前提にしつつ、最小許可の考え方を適用します。

許可する宛先・ポート・プロトコルの最小化（特に管理系端末・サーバー）
URLカテゴリ制御とログ取得（どの端末がどこにアクセスしたか）
TLS通信の可視化（可能な範囲で）と、少なくとも宛先・SNI・証明書情報の活用

ネットワーク分離と横展開の抑止

C&C対策は外向き通信だけでは完結しません。感染後に内部へ広がるケースに備え、ネットワーク分離とアクセス制御で被害の波及を抑えます。

重要システムと一般端末の分離（セグメント分割、アクセス制御）
管理用ネットワークの分離（管理端末・管理プロトコルの扱いを限定）
内部通信の監視（不審なスキャン、SMB/リモート管理の乱用など）

エンドポイントレベルでのC&C対策

端末側は、侵入後の活動の痕跡が残りやすい領域です。C&C通信が暗号化されて内容が見えなくても、「どのプロセスが通信しているか」「永続化していないか」などで検知・隔離につなげられます。

アンチマルウェアとEDRの役割分担

一般に、アンチマルウェアは既知マルウェアの検知・防御に強く、EDRは挙動やプロセス関係を含む侵入後活動の検知・調査に強みがあります。どちらか一方で十分と考えるより、役割分担で穴を減らす設計が現実的です。

アンチマルウェア：定義更新、リアルタイム保護、定期スキャンの徹底
EDR：不審プロセス、権限昇格、永続化、外部通信の相関検知と隔離

権限管理と実行制御

C&C活動を成立させるうえで、攻撃者は権限の獲得や不審な実行基盤（スクリプト、マクロ）を利用しがちです。運用負荷と相談しながら、次のような制御を検討します。

最小権限（ローカル管理者の削減、特権IDの分離）
アプリケーション制御（許可リスト、署名ベースなど）
スクリプト・マクロ運用の見直し（必要性の棚卸しと制限）

端末の健全性を保つ運用

更新の継続（OS/ブラウザ/Office/業務アプリを含む）
資産管理（端末の用途、所有者、インストールソフト、パッチ適用状況）
ログの保全（調査に必要な期間、取得範囲の明確化）

インシデント発生時の初動と対応手順

C&Cが疑われる状況では、初動の遅れが被害拡大につながります。平時に「誰が判断し、何を止め、どこまで隔離するか」を決めておくと、迷いが減ります。

初動の優先順位

影響範囲の把握（どの端末が、いつから、どこに通信しているか）
封じ込め（感染疑い端末の隔離、疑わしい宛先の遮断）
証拠保全（ログ確保、端末状態の保存、調査のための情報整理）
原因究明と復旧（侵入経路の特定、再感染防止、復旧計画の実行）

遮断・隔離の判断で注意すべき点

遮断・隔離は効果的ですが、業務影響も伴います。特に「遮断により業務が止まる」環境では、例外対応が増え、対策の実効性が落ちやすくなります。例外運用は事前に条件と承認フローを定め、緊急時に場当たり的にならないようにします。

外部連携の考え方

自社だけで24/7監視や高度な解析が難しい場合、MDR（監視・対応支援）やインシデント対応支援など外部専門家の活用が現実的です。連携する場合は、連絡手順、優先度、ログ提供の範囲を平時に決めておくと、初動が速くなります。

まとめ

C&Cサーバーは、ボットネットを遠隔操作するための指令系統であり、侵入後の活動を継続・拡大させる要となります。C&Cは固定サーバーに限らず、通信先の切り替えや分散化で追跡を避けるため、対策は「既知の宛先遮断」だけで完結しません。DNS・プロキシ・FW・EDRなどのログを端末単位で突合できる状態を整え、検知→遮断→封じ込め→復旧・改善の流れを運用として回すことが、実効性の高いC&C対策につながります。