C2サーバ（コマンド＆コントロール）とは何ですか？

攻撃者がマルウェアに感染した端末を遠隔操作するために使うサーバのこと。感染端末に指示を送り、盗んだデータを受け取る司令塔の役割を果たす。

C2サーバ（コマンド＆コントロール）のポイントは？

攻撃者がマルウェアに感染した端末を遠隔操作するための指揮・統制サーバ。HTTP/HTTPS・DNS・SNSなど正規の通信に紛れて検知を回避する。ボットネット・ランサムウェア・APT攻撃などあらゆるサイバー攻撃の中核インフラ。C2通信の検知にはDNSログ分析やビーコン検知（定期的な通信パターンの検出）が有効

【しーつーさーば】

C2サーバ（コマンド＆コントロール）とは？

💡 マルウェア軍団の司令塔、裏から全端末を操るリモコン基地

📌 このページのポイント

攻撃者がマルウェアに感染した端末を遠隔操作するための指揮・統制サーバ
HTTP/HTTPS・DNS・SNSなど正規の通信に紛れて検知を回避する
ボットネット・ランサムウェア・APT攻撃などあらゆるサイバー攻撃の中核インフラ
C2通信の検知にはDNS ログ分析やビーコン検知（定期的な通信パターンの検出）が有効

C2サーバ（コマンド＆コントロール）のイメージ

ひよこ

C2サーバって何？攻撃者がどこかにサーバを持ってるってこと？

ペンギン先生

そうだよ。マルウェアに感染した端末は、定期的にC2サーバに「何かやることある？」と問い合わせるんだ。攻撃者はC2サーバを通じて「このファイルを盗め」「別の端末に感染を広げろ」といった命令を送るんだよ。

ひよこ

怪しいサーバと通信してたら、すぐバレそうだけど？

ペンギン先生

攻撃者もそこは工夫していて、HTTPSで普通のWebアクセスに見せかけたり、DNS クエリの中にデータを隠したりするんだ。最近ではGitHubやGoogleドライブ、Slackなどの正規サービスをC2通信の中継に使う手口もあるよ。

ひよこ

正規サービスを使われたら見分けがつかないよね…

ペンギン先生

確かに難しいけど、いくつかの特徴から検知できるんだ。マルウェアは決まった間隔でC2に接続する「ビーコン」と呼ばれる通信パターンを示すことが多い。例えば60秒ごとにHTTPリクエストを送っているとか、不自然に規則的な通信をSIEMで検出するんだよ。

ひよこ

C2サーバを潰せば攻撃は止まるの？

ペンギン先生

単一のC2サーバなら、IPアドレスをブロックすれば通信は止められるね。でも高度な攻撃者はC2サーバを複数用意したり、感染端末同士がP2Pで通信するボットネットを構築したりして、簡単に潰せないようにしているんだ。

ひよこ

攻撃者はC2サーバをどこに置いてるの？

ペンギン先生

防弾ホスティングと呼ばれる、法執行機関の要請を無視するホスティング事業者を使うケースが多いんだ。あとはTorネットワーク上に隠したり、ドメインフロンティングという手法でCDNの裏に隠したりもするよ。法執行機関が国際協力でC2インフラをテイクダウンすることもあって、2023年のQakbotボットネット解体は有名な成功例だね。

まとめ：ざっくりこれだけ覚えればOK！

「C2サーバ」って出てきたら「攻撃者がマルウェアを遠隔操作する司令塔サーバ」と思えればだいたいOK！

📖 おまけ：英語の意味

「Command and Control Server」＝指揮統制サーバ

💬 もともと軍事用語のCommand and Control（指揮統制）から来ていて、攻撃者が兵士（マルウェア）に命令を出す司令部というイメージだよ

← 用語集にもどる

C2サーバ（コマンド＆コントロール） とは？

C2サーバ（コマンド＆コントロール）とは？