Written by WizLANSCOPE編集部
目 次
リバースシェルとは、外側から内側に向けて攻撃を仕掛けるのではなく、内側から外側へ接続させることで遠隔操作を可能にする仕組みであり、サイバー攻撃に用いられる手法の一つです。
標的となるPCやサーバーに悪意のあるコードを実行させ、標的システムの側から攻撃者の管理するサーバーへ接続させるため、ファイアウォールを回避しやすい傾向があります。
通常のセキュリティ対策では検出が難しい場合もあり、ランサムウェア感染などの被害につながる可能性があるため、企業・組織には適切な対策が求められます。
本記事では、リバースシェルの仕組みやリスク、有効な対策などを解説します。
▼本記事でわかること
- リバースシェルの概要
- リバースシェルによるリスク
- リバースシェルの検出方法
- リバースシェルへの対策
「リバースシェルとはそもそも何か」「どのような危険性があるのか」などを知りたい方はぜひご一読ください。
リバースシェルとは
リバースシェルとは、外側から内側に向けて攻撃を仕掛けるのではなく、内側から外側へ接続させることで遠隔操作を可能にする仕組みです。
通常のサイバー攻撃では、攻撃者側(外側)から標的システム側(内側)への接続を試みますが、この場合は、外部からの不審な通信として、ファイアウォールなどのネットワーク監視システムに阻まれます。
一方リバースシェルでは、標的システム側(内側)から外部へ接続を行うため、外部からの不正通信を検知する従来のセキュリティ対策では、検出が難しい場合があります。
攻撃者はこの仕組みを悪用し、標的システムに悪意あるコードを実行させることで、攻撃者の管理するサーバーへ自発的に接続させ、セキュリティ対策を回避しようとします。
ひとたび攻撃者のサーバーに接続してしまうと、コマンド操作を通じてシステムを遠隔から自由に操作される恐れがあります。
こうしたリバースシェルを防ぐためには、攻撃の仕組みを正しく理解し、適切な対策を講じることが重要です。
リバースシェルによる攻撃の流れ
リバースシェルの仕組みは、以下のような流れでサイバー攻撃に悪用されます。
- 攻撃者が標的に悪意のあるコードを送る
- 標的がそのコードを実行し、攻撃者のサーバーに接続する
- 攻撃者が標的システムのコマンドラインシェルを操作し、データの窃取やシステム操作を行う
まず攻撃者は、メールの添付ファイルや不正なWebサイトなどを通じて、標的となるデバイスに悪意のあるコードを送り込みます。
標的がこのコードを実行してしまうと、攻撃者の管理するサーバーへの接続が開始されます。
この接続が確立すると、攻撃者は標的システム上のコマンドラインシェルにアクセスできるようになります。その結果、システムを遠隔から操作され、データの窃取や不正操作などが実行されるリスクが生じます。
さらに、接続を足がかりとして、追加のマルウェアをインストールされるなど、被害が拡大する恐れもあります。
初期の侵入口を起点に、組織全体へ被害が広がる可能性もあるため、早期の発見と迅速な対応が非常に重要です。
リバースシェルによるリスク
リバースシェルを悪用した攻撃が実行されると、以下のようなリスクが生じます。
- 情報漏洩
- システムの破壊・改ざん
- 不正アクセス
- ランサムウェア感染
詳しく確認していきましょう。
情報漏洩
攻撃者にシステムの操作権限が渡ってしまうと、本来は厳重に管理されているはずのファイルやデータベースにも直接アクセスされる可能性があります。
さらに、攻撃者が管理するサーバーとの接続を通じて、機密情報が外部へ持ち出される恐れもあります。
一度情報が漏洩すると、たとえサイバー攻撃の被害者であったとしても、企業やブランドのイメージ低下や社会的信用の失墜につながる可能性があります。
システムの破壊・改ざん
攻撃者がコマンドラインシェルを操作できるようになると、システム設定を自由に変更できるようになり、その結果、OSの重要なファイルが削除されたり、Webサイトの内容を書き換えられたりするリスクが生じます。
特に、工場の制御システムやECサイトのサーバーが標的となった場合、サービス停止に追い込まれ、事業継続に重大な影響を及ぼす可能性があります。さらに、莫大な経済的損失につながる恐れも生じます。
不正アクセス
ひとたび攻撃者のサーバーとの接続が確立すると、攻撃者によってシステムが掌握されてしまいます。
特に問題なのは、リバースシェルがシステム上の高い権限で実行されるケースが多い点です。これにより、通常のユーザーではアクセスできない領域まで操作される恐れがあります。
この状態に陥ると、攻撃者は別のアカウントを不正に作成したり、バックドアを設置して後日再び侵入したりすることが可能になります。その結果、長期にわたって甚大な被害が発生するリスクがあります。
ランサムウェア感染
攻撃者のサーバーとの接続が確立すると、ランサムウェアが送り込まれるリスクも高まります。
ランサムウェアとは、重要なデータを暗号化したり、パソコンをロックしたりして使用不能にし、解除の条件として身代金を要求するマルウェアです。
顧客情報や業務に欠かせない重要なデータが暗号化されてしまった場合、事業継続に深刻な影響が及ぶ恐れがあります。
また近年では、リバースシェルを通じて事前に機密データを盗み出し、「身代金を支払わなければデータを公開する」と脅迫する二重脅迫型のランサムウェアも報告されています。
しかし、身代金を支払ったとしても、必ずしもデータが復旧したり、盗まれた情報の公開が中止されたりするとは限りません。さらに、「支払いに応じる組織」として攻撃者にマークされ、再び標的とされるリスクもあります。
関連ページ
リバースシェルを検出する方法
リバースシェルは一度確立されると被害が拡大しやすいため、早期検知が極めて重要となります。
検出には複数のアプローチがありますが、ここでは代表的な2つの方法について詳しく解説します。
- ログ監視
- ネットワーク監視
詳しく確認していきましょう。
ログ監視
ログ監視とは、システムやネットワークに記録された動作履歴(ログ)を定期的にチェックし、不審な挙動を検知する手法です。
例えば、通信ログを監視することで、見慣れない外部のIPアドレスへの接続が発生していないかを把握できます。
また、コマンド実行ログを確認することで、攻撃者によって実行された不審なコマンドの痕跡を特定できる可能性があります。
なお、ログの確認は手動でも実施できますが、膨大なデータの中から異常を見つけ出すのは容易ではありません。
そのため、セキュリティ情報やイベント管理(SIEM)などのツールを活用し、異常を自動的に検知できる体制を構築することが推奨されます。
ネットワーク監視
ネットワーク監視とは、組織内外を流れる通信データをリアルタイムで観察し、通常とは異なるトラフィックを検出する手法です。
代表的なネットワーク監視のツールとして、IDS(侵入検知システム)が挙げられます。
IDSは、不審なアウトバウンド通信、つまり内部から外部へ向かう異常なデータの流れを自動的に検出する機能を備えています。
一方で注意すべき点として、リバースシェルは通信に使用するポートを柔軟に変えることが挙げられます。
例えば、通常は使用しないポートが利用される場合もあれば、HTTPSなど日常的に使用される標準ポートを悪用し、正常な通信に紛れて検知を回避するケースもあります。
そのため、ポート番号だけでなく、「普段接続しない外部IPへの通信はないか」「長時間にわたって接続が継続している通信がないか」といった複数の視点を組み合わせて監視することが、検出精度を高めるうえで重要なポイントです。
リバースシェルへの対策
リバースシェルを悪用した攻撃を防ぐためには、単一の対策に依存するのではなく、複数の対策を組み合わせる多層防御が重要です。
例えば、入口・内部・手口の各層において、適切な対策を講じる必要があります。
ここでは、リバースシェル対策として有効な方法を順に解説します。
| 入口(侵入させない) | ・OS・ソフトウェアの更新 |
|---|---|
| 内部(侵入後の被害拡大を抑える) | ・ネットワーク分離 ・EDRなどによる不審なプロセスの検知 |
| 出口(外部への通信を防ぐ・検知する) | ・不要なポートの遮断・制御 ・アウトバウンド通信の制御 ・ファイアウォールによる通信制御の強化 ・ログの収集・監視 |
詳しく確認していきましょう。
OS・ソフトウェアの更新(パッチ適用)
攻撃者がリバースシェルを仕掛ける際、OSやソフトウェアに存在するセキュリティ上の欠陥(脆弱性)を入口として利用するケースは少なくありません。
脆弱性が発見されると、ベンダー(提供者)から、脆弱性を修正するためのプログラム「セキュリティパッチ」が配布されます。
そのため、このセキュリティパッチを速やかに適用し、常に最新の状態を保つことが、脆弱性を狙った攻撃に対する基本的かつ重要な予防策となります。
パッチの適用は後回しにされがちですが、公開された脆弱性情報は攻撃者にも速やかに共有されるため、対応が遅れるほど標的となるリスクが高まります。
手動による作業は、手間がかかることに加え、適用漏れも発生しやすいため、自動アップデート機能を有効化しておくことが推奨されます。
ネットワーク分離(セグメンテーションの実装)
ネットワーク分離とは、インターネットに接続して日常業務に利用するネットワークと、顧客情報や社内の機密情報を扱うネットワークを、物理的または論理的に切り分けて管理する手法です。
外部との接点を持つ環境と重要データを保管する環境を分離することで、万が一いずれかが侵害された場合でも、被害が全体へ波及するリスクを低減できます。
リバースシェルが確立された場合でも、ネットワークが適切に分離されていれば、攻撃者がアクセス可能な範囲を限定することができます。
特に、機密性の高い情報を扱う部門や基幹システムについては、外部ネットワークとの通信経路から分離した独立した環境に配置することが、被害の最小化につながる有効な対策です。
EDRなどによる不審なプロセスの検知
EDRとは、PCやスマートフォン、サーバーなどのエンドポイントにおける不審な挙動やインシデントの兆候をリアルタイムに検知し、迅速な対応を可能にするセキュリティソリューションです。
デバイスに導入されたエージェントと呼ばれるアプリケーションが、クラウド上の管理サーバーと常時通信を行い、デバイスの状態を継続的に監視します。
これにより、マルウェアが外部の指令サーバーと通信を試みる挙動や、攻撃者が社内ネットワーク内を横断的に侵害していく動きなどをリアルタイムで検知することが可能です。
さらに、攻撃者が証拠を隠蔽しようとする行動も記録されるため、インシデント発生後の調査や原因分析にも役立ちます。
不要なポートの遮断・制御
攻撃者がリバースシェルを仕掛ける際には、特定のポートを通信の出口として悪用するケースが多く見られます。
そのため、業務上必要のないポートは原則として閉じておくことが、攻撃の足がかりを減らすうえで基本的かつ有効な対策となります。
「とりあえず開けておく」といった運用は、思わぬ侵入口となる恐れがあるため、定期的な棚卸しと見直しを継続的に実施する体制を整えることが重要です。
アウトバウンド通信の制御
アウトバウンド通信とは、社内のシステムやデバイスから外部へ向けて発信される通信のことです。
リバースシェルは、この外向きの通信を悪用して攻撃者のサーバーへ接続する仕組みであるため、アウトバウンド通信の適切な制御が直接的な対策となります。
具体的には、業務上アクセスする必要のない外部IPアドレスやポートへの通信をあらかじめ制限・遮断する設定を行います。
さらに、許可されていない宛先への接続試行を検知した際にアラートが上がるような監視体制を整えることで、異常な通信を早期に把握することが可能です。
ファイアウォールによる通信制御の強化
ファイアウォールとは、内部ネットワークと外部ネットワークの間の通信を監視し、ネットワークへの出入りを制御するセキュリティシステムです。
リバースシェル対策においては、外部から内部への侵入防止だけでなく、内部から外部への通信についても厳格に制御するよう設定を見直すことが重要です。
実際の運用では、外側から内側への通信制御に重点が置かれる一方で、内側から外側への通信制御が十分でないケースも少なくありません。
例えば、アプリケーション単位での通信制御や、詳細なポリシー設定を行うことで、より精度の高い防御を実現できます。
また、定期的にルールを見直し、設定を最適化することも、継続的な対策として欠かせません。
ログの収集・監視
ログの収集と定期的な監視は、リバースシェルをはじめとする不審な挙動を早期に検知するための基盤となる取り組みです。
通常とは異なる時間帯や頻度で外部通信が増加しているといった異常を見逃さないためにも、ログを自動的に集約・分析するツールの導入が推奨されます。
また、検知されたアラートに対して担当者が速やかに確認・対応できる体制を整えておくことも重要です。
リバースシェル対策に「LANSCOPE サイバープロテクション」
リバースシェルによる被害を防ぐためには、侵入のきっかけとなる「悪意あるコードの実行」や「不審な通信」をいかに早期に検知できるかが重要です。
しかし、こうした挙動は通常の業務通信や正規のプロセスに紛れるケースも多く、従来の対策だけでは十分に対応しきれない場合もあります。
そのため、マルウェアの侵入防止に加え、侵入後の挙動も含めて検知・対応できるセキュリティ対策を導入することが求められます。
ここでは、さまざまなマルウェアの検知・ブロックに有効な「LANSCOPE サイバープロテクション」の2種類のアンチウイルスを紹介します。
▼2種類のアンチウイルスソリューション
- アンチウイルス×EDR×監視サービス(MDR)をセットで利用できる「Aurora Managed Endpoint Defense(旧:CylanceMDR)」
- 各種ファイルに対策できる次世代型アンチウイルス「Deep Instinct」
2種類のアンチウイルスソリューションの特徴を紹介します。
世界トップレベルの専門家によるMDRサービス「Aurora Managed Endpoint Defense」
「Aurora Managed Endpoint Defense 」は、アンチウイルスとEDRを組み合わせ、エンドポイントを多層的に保護するセキュリティソリューションです。
高度なエンドポイントセキュリティ製品を導入しても、適切に運用できなければ十分な効果は得られません。
「Aurora Managed Endpoint Defense」は、以下の2つのセキュリティソリューションの運用を、セキュリティのスペシャリストが代行するMDRサービスです。
- 脅威の侵入をブロックする「AIアンチウイルス」
- 侵入後の脅威を検知し対処する「EDR」
これらを組み合わせることで、マルウェアの侵入防止から侵入後の検知・対応までを一貫してカバーできます。
さらに、専門家による24時間365日の監視体制により、より高い精度でエンドポイントを保護します。
また、インシデント発生時にはお客様に代わって迅速な対応が行われるため、セキュリティ対応にかかる負荷を軽減し、本来の業務に専念できる環境が構築できます。
「LANSCOPE サイバープロテクション」は、 アンチウイルスのみ、アンチウイルス+EDRのみ導入するなど、柔軟な運用も可能です。
「Aurora Managed Endpoint Defense」についてより詳しく知りたい方は、下記のページまたは資料をご確認ください。
3分で分かる!
Aurora Managed Endpoint Defense
世界トップレベルの専門家が24時間365日監視するMDRサービスについて、製品概要や一般的な製品との比較などをわかりやすく解説します。
各種ファイルに対策できるNGAV「Deep Instinct」
「LANSCOPE サイバープロテクション」では、 AI(ディープラーニング)を活用した次世代ウイルス対策ソフト「Deep Instinct」を提供しています。
下記のようなセキュリティ課題をお持ちの企業・組織の方は、 検知率99%以上のアンチウイルス製品「Deep Instinct」の利用がおすすめです。※
- 未知のマルウェアも検知したい
- 実行ファイル以外のファイル形式(Excel、PDF、zipなど)にも対策したい
- コストを抑えつつ、高性能なアンチウイルスを導入したい
近年、攻撃者はセキュリティ製品による検知を回避するため、実行ファイルだけでなくExcelやPDF・zipなど、多様な形式でマルウェアを仕掛けてきます。
「Deep Instinct」は、こうしたファイル形式の違いに依存せず、さまざまな種類のファイルに対して検知が可能なアンチウイルスです。これにより、多様化するマルウェアへの対策を強化できます。
また、導入しやすい価格帯で提供されている点も特徴の一つです。
「Deep Instinct」についてより詳しく知りたい方は、以下のページを合わせてご確認ください。
※Unit221B社調べ
まとめ
本記事では「リバースシェル」をテーマに、攻撃の流れやリスク、有効な対策などを解説しました。
本記事のまとめ
- リバースシェルとは、外側から内側に向けて攻撃を仕掛けるのではなく、内側から外側へ接続させることで遠隔操作を可能にする仕組み
- リバースシェルによって攻撃者のサーバーとの接続が確立されると、情報漏洩やシステムの破壊・改ざんに加えて、不正アクセスやランサムウェア感染といったリスクも生じる
- リバースシェル対策としては、単一の対策に依存するのではなく、「入口・内部・出口」の領域別に適切な対策を講じる多層防御が求められる
リバースシェルはファイアウォールなどの従来型のセキュリティ対策を回避しやすいことから、さまざまなサイバー攻撃において侵入手段として利用されています。
攻撃を防ぐためには、「不要なポートの遮断・制御」や「アウトバウンド通信の制御」といった基本的な対策に加え、EDRのように迅速な検知・対応を実現するセキュリティソリューションの導入が重要です。
本記事で紹介した「LANSCOPE サイバープロテクション」では、セキュリティのスペシャリストがAIアンチウイルスとEDRの運用をお客様の代わりに行うMDRサービス「Aurora Managed Endpoint Defense」を提供しています。
「EDRを導入したいが、それを運用できる人材がいない」といった課題をお持ちの企業・組織の方は、ぜひ「LANSCOPE サイバープロテクション」をご検討ください。
3分で分かる!
Aurora Managed Endpoint Defense
世界トップレベルの専門家が24時間365日監視するMDRサービスについて、製品概要や一般的な製品との比較などをわかりやすく解説します。
おすすめ記事
