基本情報技術者 2017年 秋期 午前(科目A) 問36
問題文
ボットネットにおいてC&Cサーバが果たす役割はどれか。
選択肢
ア:遠隔操作が可能なマルウェアに、情報収集及び攻撃活動を指示する。(正解)
イ:電子商取引事業者などに、偽のディジタル証明書の発行を命令する。
ウ:不正なWebコンテンツのテキスト、画像及びレイアウト情報を一元的に管理する。
エ:踏み台となる複数のサーバからの通信を制御し遮断する。
ボットネットにおいてC&Cサーバが果たす役割はどれか。【午前2 解説】
要点まとめ
- 結論: C&Cサーバはボットネット内の感染端末(ボット)に遠隔操作命令や情報収集、攻撃指示を集中配信する役割を担います。
- 根拠: ボットは単独で大規模攻撃や体系的な情報窃取を行えないため、外部から命令を与えて統制する中枢が必要になる点が根拠です。
- 差がつくポイント: C&Cは「集中管理型の指令源」である点を押さえ、P2P型との通信様式や検知・遮断の違いを説明できると高得点につながります。
正解の理由
正解: ア
選択肢アは「遠隔操作が可能なマルウェアに、情報収集及び攻撃活動を指示する」とあり、C&C(Command and Control)サーバの定義そのものです。C&Cは感染端末からの接続を受け、命令(コマンド)を配信し、結果や収集データを受け取る中枢として機能します。これによりボットは指示通りに遠隔操作やDDoS、スパム送信、情報窃取などを行います。
選択肢アは「遠隔操作が可能なマルウェアに、情報収集及び攻撃活動を指示する」とあり、C&C(Command and Control)サーバの定義そのものです。C&Cは感染端末からの接続を受け、命令(コマンド)を配信し、結果や収集データを受け取る中枢として機能します。これによりボットは指示通りに遠隔操作やDDoS、スパム送信、情報窃取などを行います。
よくある誤解
- 「C&Cは単にマルウェアの配布元である」:配布(初期感染)と指令の役割は異なり、C&Cは主に感染後の制御が目的です。
- 「C&C=物理的に1台のサーバとは限らない」:社内想定で“サーバ=単一”と誤解しがちですが、実際は冗長化やプロキシ、中継を使うことが多い点を見落としやすいです。
- 「踏み台の通信を遮断するのがC&Cの仕事」:C&Cは指令を出す側であり、通信の遮断は防御側の措置である点を混同しやすいです。
解法ステップ
- 問題文のキーワード(C&C、ボットネット、遠隔操作、指示)を確認する。
- C&Cの定義が「指令(Command)と制御(Control)」であることを思い出す。
- 各選択肢をC&Cの定義に照らして比較し、配信・指令・遠隔制御に合致するものを選ぶ。
- 残った選択肢が配布、証明書発行、コンテンツ管理、遮断など定義と異なる点を消去法で確認する。
選択肢別の誤答解説
- ア(正解): 遠隔操作や情報収集、攻撃指示をボットに与えるのがC&Cの本質であり、正しい記述です。
- イ(誤り): 「偽のディジタル証明書の発行を命令する」はC&Cの役割ではなく、証明書の不正発行は別の攻撃手法(CAや証明書発行プロセスの悪用)に該当します。
- ウ(誤り): 「不正なWebコンテンツのテキスト、画像及びレイアウト情報を一元的に管理する」はコンテンツ管理の領域であり、C&Cの制御機能とは無関係です。
- エ(誤り): 「踏み台となる複数のサーバからの通信を制御し遮断する」は防御側(ネットワーク管理者・IDS/IPS)の対応であり、C&Cはむしろ踏み台を制御する側です(遮断する役割ではない)。
補足コラム
C&Cの構成には集中型(中央サーバ)と分散型(P2P)があります。集中型は指令元が一箇所に集約されるため検知や遮断が比較的容易ですが、攻撃者はリバースプロキシやフレームワークで隠蔽します。P2P型は各ボットが指令の中継も担当するため耐断性が高く、検知や封鎖が難しくなります。防御対策としては、接続先ドメインやIPのブラックリスト化、通信の振る舞い検知(C2ビーコンの周期性や異常なトラフィック)、サンドボックスによる通信挙動解析などが有効です。
FAQ
Q1: C&Cとコマンドサーバは同じですか?
A1: はい。C&C(Command and Control)サーバはコマンドサーバとも呼ばれ、同じ機能を指します。
A1: はい。C&C(Command and Control)サーバはコマンドサーバとも呼ばれ、同じ機能を指します。
Q2: C&Cの通信はどうやって隠蔽されますか?
A2: SSL/TLSの悪用、正規サービス(SNSやクラウド)をC2チャネルとして使う、ドメインフラックス、暗号化プロトコルなどで隠蔽されます。
A2: SSL/TLSの悪用、正規サービス(SNSやクラウド)をC2チャネルとして使う、ドメインフラックス、暗号化プロトコルなどで隠蔽されます。
Q3: 検知の際に注目すべき指標は何ですか?
A3: 定期的な外部接続(ビーコン)、未知のドメインへの通信、短時間での大量接続、異常なUDP/TCPポート通信などが指標です。
A3: 定期的な外部接続(ビーコン)、未知のドメインへの通信、短時間での大量接続、異常なUDP/TCPポート通信などが指標です。
Q4: P2P型C&Cと中央集権型の違いは?
A4: 中央集権型は単一の指令源が存在し遮断が比較的容易。P2P型は指令が分散され耐障害性が高く検出が困難です。
A4: 中央集権型は単一の指令源が存在し遮断が比較的容易。P2P型は指令が分散され耐障害性が高く検出が困難です。
関連キーワード: ボットネット、C&Cサーバ、コマンドアンドコントロール、マルウェア、遠隔操作、DDoS、踏み台攻撃、P2P型ボット、C2ビーコン、通信隠蔽
\ せっかくなら /
基本情報技術者を
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!