Tate
お問い合わせ 資料請求
Column

C2通信とは?外向き通信と beacon 検知の基本

ネットワークの基礎 #C2通信#beacon検知#外向き通信

セキュリティのインシデント報告やEDR製品の説明で「C2通信を検知」「C2サーバとの通信を確認」という言葉を目にします。C2とは何か、なぜそれが「外向き通信の監視」と結びつくのか——侵入後の攻撃の構造を知ると、出口側の対策がなぜ重視されるのかが見えてきます。この記事で基本を整理します。

C2(Command & Control)とは

C2 は Command & Control(指令と制御) の略です。マルウェアに感染したホストや、乗っ取られたシステムは、それ単体では次に何をすべきか分かりません。攻撃者は外部にC2サーバ(指令サーバ)を用意し、侵入先のホストにそこへ接続させて、指示を送り、結果を受け取ります。

  • 「この認証情報を送れ」「このコマンドを実行しろ」といった指令の配布
  • 収集した情報の回収
  • 追加のマルウェアの送り込み

つまりC2通信は、侵入の「後」に始まる攻撃の生命線です。逆に言えば、C2との通信を確立できなければ、侵入したマルウェアは指示を受け取れず、攻撃を先へ進めにくくなります。

なぜ「外向き通信」として現れるのか — beacon という形

ここで重要なのは通信の向きです。多くの組織のファイアウォールは「外から内」への接続を厳しく制限しているため、攻撃者が外からマルウェアに接続しにいくのは困難です。そこで実際には逆向き、つまり感染したホストの側から、外のC2サーバへ定期的に接続しにいく形を取ります。内から外へのHTTPSは多くの環境で通る、という現実を利用するわけです。

この「指示はないか?」と定期的に問い合わせる通信が beacon(ビーコン) と呼ばれます。一定間隔(あるいは検知を避けるために間隔を揺らしながら)で、同じ宛先へ短い通信を繰り返す——これがC2通信の典型的な姿です。

攻撃は「外から殴り込んでくる」イメージで語られがちですが、侵入後のC2は「内から外へ、静かに、繰り返し」現れます。だから外向き通信の監視が意味を持ちます。

検知の観点 — どんな兆候を見るか

beacon を見つける手がかりは、通信の中身ではなくふるまいのパターンです(C2通信の多くは暗号化されており、中身では判別できません)。

  • 見知らぬ宛先への定期的な通信 — 業務上の説明がつかないドメインやIPへ、規則的・継続的に接続している
  • 初見ドメイン — その環境で初めて観測される宛先は、それ自体が要調査のシグナルになります(初見ドメインはなぜ危険シグナルになるのか
  • 複数ポートへの fan-out — 1つのホストが多数のポートや宛先へ短時間に接続を試みる動きは、C2確立の試行や内部探索の兆候でありえます
  • 時間帯の不自然さ — 誰も使っていないはずの深夜に外向き通信が続いている、など

いずれも単独で「クロ」と断定できるものではなく、複数の兆候を重ねて調査の優先度を上げるという使い方が現実的です。

防御の観点 — 宛先を絞れば「確立」自体を妨げられる

検知と並ぶもう1つのアプローチが、宛先の制御です。C2通信は「攻撃者が用意した宛先に到達できること」が前提です。そこで、接続先が本来安定しているホスト——サーバや、AIエージェント専用ホストのような環境——で外向き通信を許可リスト型(許可した宛先以外は通さない)に絞ると、許可リストに無いC2サーバへの接続はそもそも確立できません(考え方の詳細はAIエージェントの egress 制御入門)。

これは「C2を検知してから対処する」のではなく、C2の確立という前提条件を崩すアプローチです。検知をすり抜ける工夫を相手がどれだけ凝らしても、到達できない宛先とは通信できません。たとえ遮断まではしない監視段階でも、「許可リスト外への接続試行」が記録に残ること自体が、強い検知シグナルになります。

正直な限界 — 正規サービスをC2に使う手口

宛先制御にも明確な死角があります。攻撃者が業務で許可されている正規サービスをC2の中継に使う手口です。広く使われるクラウドサービスやコード共有サービスを指令の受け渡しに悪用されると、宛先だけを見れば「いつもの正常な通信」と区別がつきません。

  • 宛先制御は、攻撃者に「許可済みの正規サービスを使う」という制約を強いることはできますが、その経路まで塞げるわけではありません
  • したがって「すべてのC2を検知・遮断できる」対策は存在せず、ホスト側のEDR・ログ監視・ふるまい検知との多層が前提です
  • それでも、使い捨てのC2インフラへの接続を封じ、攻撃の選択肢を狭め、試行を記録に残すことには十分な価値があります

まとめ

  • C2(Command & Control)は、侵入後のマルウェアが攻撃者の指示を受け取るための生命線となる通信
  • 外から内への接続は通りにくいため、C2は**内から外への定期通信(beacon)**として現れる
  • 検知の手がかりは中身ではなくパターン——見知らぬ宛先への定期通信・初見ドメイン・ポート fan-out を重ねて見る
  • 外向きの宛先を許可リストで絞れば、C2の確立という前提条件そのものを崩せる
  • ただし正規サービスをC2に悪用する手口は宛先制御だけでは捕捉しにくい。多層防御の一層として位置づける

Tate(盾)は、回線に挟むだけで外向き通信の可視化と宛先制御を追加するアプライアンスです。外向き通信の観測と分析については可視化・AI解析をご覧ください。

AIエージェントの外向き通信、見えていますか。

Tate(盾)は、回線に挟むだけで導入できる L2透過型ファイアウォール・アプライアンスです。現在、先行案内・お問い合わせを受け付けています。

資料請求・お問い合わせ AIガードレールを見る
関連記事