ブロックチェーンで「不滅のボットネット」が誕生 ― Aeternum C2の脅威とClaude Codeユーザーが知るべきセキュリティの教訓

公開: 2026-05-19 約5分 Claude セキュリティ

サイバーセキュリティ研究者が、ブロックチェーン技術を悪用した新型ボットネットローダー「Aeternum C2」の詳細を公開しました。従来のC2（コマンド＆コントロール）サーバーとは異なり、Polygonブロックチェーン上に暗号化された指令を保存することで、法執行機関によるテイクダウン（停止措置）を事実上不可能にするという、極めて厄介な特徴を持っています。

この記事のポイント

Aeternum C2はPolygonブロックチェーン上のスマートコントラクトにC2指令を保存し、従来のサーバー停止では対処不能
C++製ローダー（32bit/64bit対応）で、運用コストはわずか1ドル分のMATICトークンで100〜150回のコマンド実行が可能
アクセス料金200ドル〜、フルソースコード10,000ドルで販売されており、サイバー犯罪のコモディティ化が加速

ブロックチェーンを悪用した「不滅」のC2インフラ

Qrator Labsの調査によると、Aeternum C2の最大の特徴は、指令インフラにPolygonブロックチェーンを利用している点です。従来のボットネットは、C2サーバーのIPアドレスやドメインを差し押さえることでテイクダウンが可能でした。しかしAeternumでは、指令がスマートコントラクトとしてブロックチェーン上に書き込まれるため、一度確認（confirm）された指令はウォレット保有者以外には改変も削除もできません。これにより「事実上永続的で、従来のテイクダウン手法に対して耐性を持つC2インフラ」が実現されています。感染端末はパブリックRPCエンドポイントを通じてブロックチェーンを照会し、暗号化されたコマンドを取得します。

技術的な仕組みとオペレーション

AeternumはネイティブC++で開発されたローダーで、x86（32bit）とx64（64bit）の両ビルドが存在します。オペレーター（攻撃者）はNext.jsベースのWebコントロールパネルを使用し、スマートコントラクトの選択、コマンドタイプの指定、ペイロードURLの選択、そしてブロックチェーンへのトランザクション書き込みを行います。特筆すべきは運用コストの低さで、サーバーのレンタル、ドメインの登録、インフラの維持が一切不要です。必要なのは暗号通貨ウォレットとパネルのローカルコピーのみで、わずか1ドル分のMATICトークンで約100〜150回のコマンドトランザクションを実行できます。

サイバー犯罪のコモディティ化と価格体系

「LenAI」と名乗る脅威アクターがAeternumを販売しており、マルウェアパネルへのアクセスは200ドル、C++フルソースコード（アップデート付き）は当初4,000ドル、その後完全なツールキットの権利として10,000ドルに値上げされました。この価格設定は、高度なマルウェアが比較的安価に入手できるサイバー犯罪のコモディティ化を如実に示しています。さらにAeternumには仮想環境検知機能が搭載されており、Kleenscanとの連携によりアンチウイルス検知を回避するビルドの作成も可能です。

知っておくと便利なTips

ブロックチェーンベースのC2は従来のドメインブロッキングやIP遮断では対処できないため、エンドポイントでの振る舞い検知（EDR）がより重要になる
開発環境のセキュリティとして、不審なRPCエンドポイントへの通信や、予期しないブロックチェーン関連の通信をネットワーク監視で検知することが有効
仮想環境検知を回避する手法が組み込まれているため、サンドボックス分析だけに頼らず多層防御を心がける

まとめ

Aeternum C2は、ブロックチェーン技術を悪用することで従来のテイクダウン手法を無力化する新たな脅威です。スマートコントラクトの不変性という本来はメリットである特性が、攻撃者にとって「停止不能なインフラ」という武器に転用されています。運用コストが極めて低く、参入障壁も下がっていることから、今後同様の手法を採用するマルウェアが増加する可能性があります。開発者・エンジニアとしては、自身の開発環境やCI/CDパイプラインのセキュリティを改めて見直し、エンドポイント保護とネットワーク監視の強化を検討すべきタイミングと言えるでしょう。

📎 元記事: https://thehackernews.com/2026/02/aeternum-c2-botnet-stores-encrypted.html

関連記事