マルウェア
コマンド&コントロール(C2)
別称: C2, C&C, コマンド&コントロールサーバ
定義
攻撃者が侵害済みシステムとの通信を維持し、指令を送るために用いるインフラと通信チャネル。
コマンド&コントロール(C2 / C&C)とは、初期侵害後に攻撃者が植え込んだマルウェアを操るためのサーバ、プロトコル、通信パターンの総称である。C2 チャネルは指令の配信、窃取データの回収、新たなペイロードの配布、複数ホストの作戦調整などに用いられる。運用者は HTTP(S)、DNS トンネリング、メッセージングアプリ、SNS アカウント、クラウド API、正規 SaaS を混入させて目立たないようにし、ドメイン生成アルゴリズム(DGA)、ファストフラックス DNS、リダイレクタ、暗号化通信などで回復性を高める。対策としては、外向き通信のフィルタリング、DNS 分析、合法的な範囲での TLS インスペクション、NDR、テイクダウンやシンクホールによる C2 の遮断などが挙げられる。
例
- Cobalt Strike Beacon の HTTPS・DNS・SMB パイプ C2 チャネル。
- 毎日数百の擬似ランダム C2 ドメインを生成する Conficker の DGA。
関連用語
ボットネット
マルウェアに感染したインターネット接続機器を攻撃者が遠隔操作し、協調動作を行わせるネットワーク。
バックドア
通常の認証やアクセス制御を回避し、攻撃者に将来のシステムアクセス手段を提供する隠された仕組み。
リモートアクセストロイの木馬(RAT)
感染端末を攻撃者がひそかに対話的に操作できるようにするマルウェア。隠された遠隔管理ツールに近い。
Advanced Persistent Threat (APT)
Advanced Persistent Threat (APT) — definition coming soon.
脅威インテリジェンス
脅威と攻撃者に関する、指標・TTP・背景を含むエビデンスベースの知識。セキュリティの意思決定と検知を導くために用いられる。
マルウェア
コンピュータ、ネットワーク、データを妨害・破壊したり、不正にアクセスしたりする目的で意図的に作成されたソフトウェアの総称。