基本情報 平成29年度 春期 問36：テクノロジ系に関する問題

答えは a です。

C&Cサーバ（Command and Control server）＝司令塔サーバ。

悪い人がウイルス（マルウェア）を世界中のPCに感染させて操れる状態（＝ボットネット）にして、その軍隊に「あのサイトを攻撃しろ」「情報を盗んで送ってこい」と命令を出すのが C&Cサーバの役割です。

👉 覚え方：Command（命令）& Control（制御）の頭文字。ボット軍団の司令塔。

ほかの選択肢：b 偽証明書発行＝認証局乗っ取り／c Webコンテンツ管理＝CMS／d 通信遮断＝ファイアウォール。

なぜこれが正解か

正解は a。C&Cサーバ（Command and Control サーバ）はボットネットを構成する遠隔操作マルウェアに対し、情報収集や攻撃活動の指示を出す中継拠点。感染端末（ボット）は定期的にC&Cにポーリングし、命令の受領と実行結果の報告を行う。DDoS、スパム送信、情報窃取、仮想通貨マイニング等の多様な攻撃ペイロードを集中制御できる。

各選択肢の解説

• a：遠隔操作マルウェアへの指示出し → 正解。
• b：偽証明書発行＝認証局（CA）の侵害事件で発生する別問題。
• c：Webコンテンツ管理＝CMS（Content Management System）の機能。
• d：踏み台通信の制御・遮断＝ファイアウォール／IPSの役割。

覚え方・ひっかけ注意

C&C ＝ Command and Control。「ボット軍団の司令塔」と覚える。ボット（兵士）⇄ C&Cサーバ（司令官）⇄ ボットマスター（黒幕） の3層構造。検知対策では C&C との通信をプロキシ・DNSログで見つける運用が重要。

理論的背景・進化

初期のC&Cは固定IPやIRCチャネルだったが、テイクダウンを困難にするため進化：

• HTTP/HTTPS C&C：正規Web通信に紛れて検知回避。
• DGA（Domain Generation Algorithm）：時刻に応じて毎日数千の擬似ドメインを生成し、その日有効な数個のみ攻撃者が登録。Confickerが代表例。
• Fast-flux DNS：1ドメインに大量のIPを高速ローテーション、テイクダウン困難化。
• P2P型：中央サーバを持たず感染端末同士で命令拡散（Game Over Zeus, Storm worm）。
• DoH/DoT経由：DNS over HTTPS/TLSで通信内容を暗号化し、ネットワーク側からの観測を困難化。
• 正規SaaSの悪用：Telegram, Discord, GitHub Gist等をC&Cチャネルにする例も増加。

検知・対策

• 脅威インテリジェンス（CTI）：既知C&CのIoC（IPアドレス、ドメイン、ハッシュ）共有。
• DNSシンクホール：既知の悪性ドメインを自社DNSで偽IPに返してC&C到達を阻止。
• ふるまい検知：定期的・周期的な外部通信（beaconing）パターン検出。
• EDR/XDR：エンドポイント側で C&C 通信を直接ブロック。
• マイクロセグメンテーション・ゼロトラスト：内部の横展開（lateral movement）阻止。

試験での位置づけ

FE「セキュリティ」分野で毎期1〜2問は登場する最重要用語。同時にAPT、標的型攻撃、DDoS、ランサムウェアと連動した出題が増加。応用情報・SCではC&Cの通信特性分析、テイクダウン手法、フォレンジック手順まで踏み込む。

選択肢の発展補足

bの偽証明書発行はDigiNotar事件（2011）等で実際に発生し認証局の信頼が問題化。CT（Certificate Transparency）ログが対策技術として導入された。dの「踏み台」とC&Cは関連するが別概念で、踏み台＝経由地、C&C＝司令塔。攻撃チェーンを MITRE ATT&CK フレームワークで体系化して理解すると上位試験対策に有効。