SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

Security Online Day 2024 春の陣

2024年3月13日(水)10:00~17:10

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

レジリエンスを構築する、本城信輔のセキュリティガイド

サイバーレジリエンスから考える脅威─リモートアクセスマルウェア(RAT)遠隔操作マルウェアの特徴─

 国内や国際情勢の影響もあってか、近年よく耳にするようになった「レジリエンス」。NIST(米国標準技術研究所)ではレジリエンスを、「サイバー攻撃を予測し、耐え、回復する能力」としています。予測するために、どういったマルウェアによる攻撃があることを知る必要があり、マルウェアの機能を知ることによって耐え、回復することが可能です。しかしそのためには、攻撃されることを前提に対策を取る必要があり、それに備えていていくこと大事です。そこで本連載では、レジリエンスを実現するということを念頭に、様々なマルウェアやサイバー脅威を紹介し、具体的な例を用いて機能や攻撃能力、アクターを説明していきます。第1回目の今回は、「サイバーレジリエンスから考える脅威─リモートアクセスマルウェア(RAT)遠隔操作マルウェアの特徴─」です。

バックドアという、多機能なマルウェア

 さて今回は、RAT(Remot Access Trojan/Remote Administration Tool)またはバックドア(Backdoor)と呼ばれるマルウェアについてお話しします。これらは文字通り、感染したコンピュータを遠隔操作するためのマルウェアで、遠隔操作型(Remote Access/Remote Control)のマルウェアと呼ばれることもあります。様々な呼称がありますが、本稿ではバックドアと呼びます。

 10年以上も前になりますが、バックドアに感染させたコンピュータから犯罪予告を行っていた人物が逮捕されたことがありました。当時大きく報道されたため記憶されている方も多くいることと思います。このタイプのマルウェアは様々な犯罪に使われてきました。またバックドアは、国家の機密情報や企業の知的財産の窃取を目的に、中国など国家からの標的型攻撃やAPT攻撃にも頻繁に利用されています。このように幅広く悪用の使途があるのがバックドアの特徴です。

 バックドアは、非常に多機能なマルウェアの一つです。命令の方法や実行できるコマンド、通信の方法など様々な手口があります。千差万別なこのマルウェアの特徴をすべて網羅することはとてもできませんが、本稿では体表的なバックドアを取り上げ、機能の説明をしたいと思います。

 まず大抵のバックドアは、遠隔操作に必要な基本的な機能を備えています。ファイルのダウンロード・アップロード、プログラムの実行・終了、ファイルやフォルダ情報の取得、プロセス情報の取得、コマンドプロンプト、スクリーンショット機能などがあります。

 一度バックドアに感染させることができれば、攻撃者は追加のマルウェアの感染、攻撃の踏み台、機密情報のあるファイルの窃取などが可能です。また、高度な機能を有するバックドアも存在しており、SOCKS通信機能、SMTPサーバ機能、メールボックスへのアクセス、パスワードなどの認証情報の窃取などもあります。特にSOCKS機能は、感染したコンピュータを次への攻撃の踏み台にするために利用され、SMTP機能はスパム、フィッシング、不正メールなどの配信に悪用されます。

 次に、命令を受け取るC&C通信機能について説明しましょう。感染したコンピュータから攻撃者のサーバに通信して命令を受け取ったり命令の結果を送信したりするわけですが、この場合は企業のコンピュータから外部通信可能な、ポート80とポート443が利用されます。通信内容が暗号化されていないとセキュリティのフィルタリング機能によりブロックされてしまうので、たいていのバックドア通信にはTLSが使われます。また、不審な通信先の場合も同様にブロックされる可能性があるので、Githubやgoogle docsなど通常利用している宛先を悪用して命令をやり取りする場合もあります。

 執筆段階(2024年1月下旬)で流行しているコモディティのバックドアに、以下のようなものがあります。これらはオープンソースのバックドアで誰でも入手可能なため、亜種も多数発見されています。また、これらのRATには感染したコンピュータを操作するためのGUIのサーバ機能がそれぞれ付随しています。

  • AsyncRAT
  • QuasarRAT
  • DarkComet
  • Orcus RAT
  • njRAT

 これらは、それぞれ別の攻撃者に使われることもありますが、南米諸国を攻撃していたAPT-C-36/Blind Eagleといった攻撃者グループのようにAsyncRAT、QuasarRAT、njRATなど複数のバックドアを使うアクターもいます。

次のページ
具体的にどのように使用されるか

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
この記事の著者

本城 信輔(ホンジョウ シンスケ)

サイバーリーズン合同会社 Japan CISO 本城 信輔(ほんじょう しんすけ)
アンチウィルスベンダーやセキュリティ企業において、20年以上に渡りマルウェア解析業務に従事。豊富な定義ファイルの作成経験があり、サンドボックスの検知技術やAIによる検知技術の向上にも関わってきた経験からマルウェア対策技術に...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/19142 2024/02/08 08:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2024年3月13日(水)10:00~17:10

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング