用語辞典

C2（コマンド＆コントロール）とは — 侵入後に攻撃者が端末を遠隔操作する通信

C2（Command and Control／C&C）は、侵入された端末が攻撃者のサーバーへ“通信を返し”、命令の受信やデータの送出に使われる遠隔操作チャネルです。RCE等で侵入された“後”の段階にあたります。検知の鍵となる不審な定期通信（ビーコン）と既知の悪い宛先、そして防御（出口制御・DNS監視・IOC/IOA照合）を、攻撃の作り方は扱わず防御目線で解説します。

公開日 2026-06-11 更新日 2026-06-11 5分で読める

「侵入された後、攻撃者はどうやって端末を操るのか？」——その通信がC2です。仕組みと、気づき方・防ぎ方を解説します（攻撃の作り方・運用方法は扱いません）。

攻撃の流れの中での位置

C2は「侵入そのもの」ではなく、その後に来ます。

① 侵入（例：RCE・フィッシング・マルウェア）

↓

② 端末が攻撃者サーバーへ“コールバック”（ビーコン＝定期的な生存確認）

↓

③ 命令の受信・データの送出（遠隔操作）

侵入（入口）の後、端末は攻撃者サーバーへ通信を返す（C2）。そこが検知・遮断のチャンス。

ここで重要なのは、②の外向き通信が検知・遮断のチャンスだということ。入口（侵入）を100%防ぐのは難しくても、出口で気づいて止める余地があります。

どう気づくか（検知の手がかり）

手がかり	何を見るか
ビーコン（定期通信）	一定間隔で同じ宛先へ送られる規則的な外向き通信
見慣れない宛先	不審なドメイン/IP（既知の悪い宛先＝IOCと照合）
怪しいDNS	見慣れないドメインへの問い合わせ・異常に多いDNS
想定外の経路	想定しないポート/プロトコルでの外向き通信

どう防ぐか

そもそも侵入させない（土台）

パッチ（CVE監視）・最小権限・MFA・秘密を平文で置かない。C2は“侵入後”の段階なので、入口を固めるほど出番が減る。

出口（egress）を絞る

サーバーや端末の外向き通信を、必要な宛先・ポートだけに制限する（egressフィルタリング）。侵入されても、外へ通信を返せなければC2は成立しにくい。

DNSと通信ログを監視する

不審な定期通信・見慣れない宛先・異常なDNSに気づける状態にする（→ IOA＝振る舞いで気づく）。

既知の悪い宛先を照合・遮断

脅威情報が配る既知のC2宛先（IOC）を、自分の通信ログやファイアウォールと突き合わせて遮断する。

当サイトの視点：入口だけでなく『出口』を守る。C2が“無い”確認も調査の一部

C2の発想がもたらす一番の学びは、守りは入口（侵入）だけではないということです。完全な侵入防止は難しくても、出口（外向き通信）を絞り、不審なコールバックに気づく余地は残ります。当サイトは「侵入させない設計（パッチ・最小権限・MFA）」を本命に置きつつ、出口制御と通信監視を“最後の砦”として併せ持つことを勧めます。なお、侵害が疑われたときの調査では、常駐するC2（バックドアや不正な定期通信）が“無い”ことを確認するのも重要な工程です——「実害は限定的だった」と結論づけるには、出口側の確認が欠かせません。

次に読む

用語：RCEとは / IOC（侵害指標）とは / IOA（攻撃指標）とは / ランサムウェアとは

よくある質問

QC2（コマンド＆コントロール）とは何ですか？

侵入された端末（マルウェアに感染した、あるいは脆弱性で乗っ取られたPCやサーバー）が、攻撃者の用意したサーバーへ“通信を返し”、そこから命令を受け取ったり、盗んだデータを送り出したりするための遠隔操作チャネルです。攻撃の流れでいうと、侵入（例：RCE）に成功した“後”、攻撃者が端末を継続的に操るために使う仕組みにあたります。

QC2はどうやって気づけますか？

鍵は『外向きの通信』です。感染端末はしばしば、一定の間隔で攻撃者サーバーへ“生存確認”の通信（ビーコン）を送ります。普段と違う宛先への規則的な定期通信、見慣れないドメインへのDNS問い合わせ、想定外のポート/プロトコルの外向き通信などが手がかりになります。これは痕跡（IOC）でも振る舞い（IOA）でも捉えられます。

QC2への防御の基本は？

①そもそも侵入させない（パッチ・最小権限・MFA）、②出口（外向き通信）を絞る『egressフィルタリング』、③DNSと通信ログを監視して不審な定期通信や宛先に気づく、④脅威情報の既知C2宛先（IOC）を照合してブロック、が基本です。侵入は“入口”だけでなく“出口”でも止められる、という発想が重要です。