Written by WizLANSCOPE編集部
マルウェア感染時のNG行動とは?
「えっ!それやっちゃダメだったの!?」マルウェア感染の被害を拡大しないために知っておきたいNG行動をまとめました。専門家が教える感染時の正しい対処法もお伝えします。
目 次
RAT(Remote Administration Tool)とは、コンピューターに不正に侵入し、遠隔操作を可能にしてしまうマルウェアの一種で、「リモートアクセス型トロイの木馬(Remote Access Trojan)」とも呼ばれます。
RATに感染すると、情報漏洩や盗聴・盗撮といった被害に遭う危険性があります。
本記事では、RATに感染した場合の被害リスクや感染しないための対策などを解説します。
▼本記事でわかること
- RATの感染経路
- RATに感染した場合の被害リスク
- RATに感染しないための対策
RATとはなにかを理解し、セキュリティの強化に役立てたいとお考えの方はぜひご一読ください。
RATとは
「RAT(Remote Administration ToolまたはRemote Access Tool)」とは、広義では遠隔操作を可能にするツール全般を指しますが、狭義ではコンピューターに不正侵入し、遠隔操作を可能にしてしまうマルウェア(悪意のあるソフトウェア)を指します。
本記事では、狭義のRATについて解説していきます。
RATは、システムへの不正アクセスやメールの添付ファイルに仕込むなどの手口でターゲットのコンピューターに侵入する、潜伏型のマルウェアです。
ターゲットのデバイスに侵入したあとは、攻撃者と通信をおこない、新たなマルウェアの送り込みや機密情報の窃取、PC設定の不正操作などの悪事に用いられます。
また、一度RATを侵入させることに成功すると、ターゲットのデバイス内を自由に調査したり、感染したPCを辿って他のネットワークやコンピュータへ不正アクセスを拡大したりすることも可能です。
そのため、攻撃までに入念な事前準備と情報収集を要する標的型攻撃のような巧妙なサイバー攻撃では、RATが活用されるケースが少なくありません。
RATは別名「リモートアクセス型トロイの木馬」と呼ばれる
RAT(Remote Administration Tool)は、「有益なソフトウェア」などに偽装してユーザーにダウンロードされ、気づかれないうちにシステム内へ侵入する手口が一般的です。
このように「正規のソフトウェアやファイル」を装ってシステムに侵入するタイプのマルウェアを、「トロイの木馬」と呼びます。実際、RATも同様の特徴をもつことから「リモートアクセス型トロイの木馬(Remote Access Trojan)」とも呼ばれています。
トロイの木馬およびRATは、標的のコンピュータへ自由に侵入・操作できるよう「バックドア」という侵入口を仕掛けるマルウェアです。
バックドアとは、攻撃者がいつでも対象のシステムへアクセスできるよう、システムに出入口を設置する手口・またはマルウェアそのものを指します。一度バックドアを設置されると、攻撃者は認証システムやセキュリティを回避し、ターゲットのシステムに自由に出入りできるようになります。
関連ページ
RATの仕組み・攻撃手順
前述した通り、RATは「標的型攻撃」に頻繁に用いられるマルウェアです。
「標的型攻撃メール」を例にとり、RATの攻撃手順について解説します。
- 手順(1):攻撃者が標的型攻撃メールを送る
- 手順(2):標的がメールの添付ファイルを開いてしまいRATに感染する
- 手順(3):標的のコンピュータにRATが侵入し、バックグラウンドで個人情報の収集などをおこなう
- 手順(4):RATに感染したデバイスが新たなサイバー攻撃の踏み台になる
詳しく確認していきましょう。
手順(1):攻撃者が標的型攻撃メールを送る
攻撃者は、添付ファイルにRATを仕込んだメールをターゲットに送ります。
この際、受信者と近しい関係にある取引先担当者や信頼性の高い公的機関を装うなど、受信者が信頼しやすい攻撃メールを送るのがポイントです。
手順(2):標的がメールの添付ファイルを開いてしまいRATに感染
添付ファイルは一見するとただのExcelファイルやPDFと相違ありません。
そのため、受信者は疑いを持たず添付ファイルを開き、RATに感染してしまいます。
手順(3):標的のコンピュータにRATが侵入し、バックグラウンドで個人情報の収集などをおこなう
添付ファイルを開いたデバイスがRATに感染すると、攻撃者は、そのデバイスにリモートでアクセスできるようになり、自由に制御することが可能になります。
デバイスに自由に出入りできるようになった攻撃者は、感染したデバイスのバックグラウンドで悪意のある活動(機密情報や個人情報の収集など)をおこないます。
悪意のある活動として、キーロガーの機能を使ってパスワードを入手したり、画面やテキストのキャプチャを外部へ送信したり、ファイルへ不正アクセスしたりなどが挙げられます。
これらの活動は表面的な被害が異常がほとんどなく、被害に気づきにくいため、攻撃者の侵入が長期間発覚しないケースも多くあります。
手順(4):RATに感染したデバイスが新たなサイバー攻撃の踏み台になる
攻撃者は、感染したデバイス内部で悪意のある活動をおこなうだけでなく、そのデバイスを、次のサイバー攻撃の踏み台として利用することもあります。
標的型攻撃のための情報窃取をはじめ、ボットネットの一部としてDDoS攻撃を仕掛けたり、ランサムウェアに感染させファイルを暗号化したり、メールアカウントを乗っ取って大量のスパムメールをばらまいたりするケースが報告されています。
このようにRATによる被害は、単に侵入されたデバイスに留まらず、社内ネットワーク全体や取引先や顧客などサプラチェーンへ拡大する危険性があります。
RATの主な感染経路
RATの主な感染経路は以下の通りです。
- メールの添付ファイルやリンクへのアクセス
- 不正なWebサイトの閲覧
- 悪意のあるファイルのダウンロード
- 外部メディアの接続
メールの添付ファイルやリンクへのアクセス
RATの感染経路として多いのが、メールの添付ファイルです。
RATを仕込んだ添付ファイルを受信者が開いてしまうことで感染します。
また、メールの本文に記載されたリンクをクリックすることで不正なサイトに誘導し、RATをインストールさせるといった手法もあります。
不正なWebサイトの閲覧
攻撃者によって改ざんされた悪質なサイトを閲覧することで、知らないうちにRATに感染してしまうことがあります。
このように、Webサイトを閲覧しただけで自動的にマルウェアをダウンロード・インストールさせる手法は「ドライブバイダウンロード」と呼ばれています。
悪意のあるソフトウェアのダウンロード
前述したように、「有益なソフトウェア」などに偽装し、何も知らずにユーザーがダウンロードすることで感染するケースも多いです。
さらに、信頼性のあるサービスの模倣サイトを作成して偽のダウンロードリンクを設置したり、アップデートを装ったりする巧妙なケースもあります。
外部メディアの接続
RATを埋め込んだUSBメモリやCD-ROMをユーザーに配布して、感染させるケースもあります。
RATに感染した場合の被害
RATに感染した場合、以下のような被害が想定されます。
- 個人・機密情報の漏洩
- 盗聴・盗撮
- なりすまし
- システムの破壊
個人・機密情報の漏洩
RATに感染すると、攻撃者はデバイスの操作をリアルタイムで監視することが可能になります。
そのため、感染したことに気付かず取引先とメールをやり取りしたり、重要な文書を閲覧したりすると、攻撃者に情報が筒抜けになります。
さらに、RATには「キーロガー」という別のマルウェアが組み込まれているケースもあります。
キーロガーとは、ユーザーがキーボードで入力した文字情報を記録するソフトウェアまたはハードウェアのことです。
RATとキーロガーが組み合わさると、システムやサービスにログインに利用するパスワードや暗証番号が盗み取られ、不正アクセスや不正利用といった深刻なリスクも発生します。
盗聴・盗撮
RATに侵入されたデバイスでは、「Webカメラによる盗撮」や「マイク機能による音声の盗聴」などが遠隔で実行される危険性があります。
実際に米国では、RATに感染したPCのカメラが遠隔操作され、盗撮された写真をインターネット上に公開するといった脅迫事件が報告されています。
なりすまし
RAT感染によりデバイスの遠隔操作が可能になってしまうと、自動ログインを許可しているアカウントが悪用され、なりすまし被害が発生する恐れがあります。
たとえば、感染したデバイスの持ち主になりすまして、マルウェアを仕込んだメールを第三者に送り、被害が拡大することなどが懸念されます。
RAT感染により約700万人の個人情報が漏洩した被害事例
日本の大手旅行代理店で顧客情報を保存していたサーバが不正アクセスを受け、約700万人の個人情報が漏洩する大規模な事件が発生しました。
発端は、同企業のグループ会社従業員が取引先を装ったメールの添付ファイルを開封し、RATに感染したことでした。
RATと攻撃者間での通信を、同代理店を担当していたセキュリティベンダーが検知したことで、不正アクセスが明らかになりました。
調査の結果、パスポート情報のほか、住所・氏名・性別・生年月日・メールアドレス・電話番号などの個人情報が漏洩した可能性があると判明しました。
しかし実際には、不正アクセスの検知からベンダーが対処するまでの5日間にわたり情報が窃取されたことが後に確認されています。
この事例は、攻撃の検知だけでなく、検知後の迅速かつ適切な対策がいかに重要であるかを広く認知させるきっかけになりました。
RATへの対策方法
RATの被害に遭わないためには、以下のような「マルウェア対策」をしっかりおこなうことが重要です。
- メールの添付ファイルやリンクは安易に開かない
- アプリやソフトウェアは信頼できるところからダウンロードする
- OSやアプリケーションを最新の状態に保つ
- アンチウイルス・EDRを導入する
詳しく確認していきましょう。
メールの添付ファイルやリンクは安易に開かない
以下の特徴に当てはまる場合、攻撃メールの危険性が高いため、安易に添付ファイルやリンクを開かないようにしましょう。
- 送信元のメールアドレスがフリーアドレス
- 宛名が明記されていない、「皆さま」など抽象的
- 本文中の日本語が不自然
- 不安をあおるような内容
従業員が安易にファイルを開くことがないように、企業・組織は社内でセキュリティ研修などを実施し、標的型攻撃メールが届いた時の具体的な対応方法などをレクチャーしておくことが重要です。
アプリやソフトウェアは信頼できるところからダウンロードする
RATへの感染リスクを低減するためには、不審なアプリやソフトウェアのダウンロードを避ける必要があります。
ダウンロードするものは、信頼できる開発元のものに限定し、ダウンロードする場所も公式に限定しましょう。
企業・組織で管理するデバイスの場合は、指定したアプリやソフトウェア以外のダウンロードを制限するのもひとつの手です。
あるいは、アプリ・ソフトウェアのダウンロード時は管理者の指示を仰ぐといったルールなどを定めることで、不審なソフトウェアに起因するRAT感染を防止することが可能です。
OSやアプリケーションを最新の状態に保つ
攻撃者は、OSやソフトウェアの脆弱性(セキュリティ上の欠陥)を突いて、不正アクセスやマルウェアを仕掛けてきます。
攻撃の糸口となってしまう脆弱性を無くすためには、ベンダーが公開する更新プログラムを適切に適用し、脆弱性を修正する必要があります。
アプリやソフトウェアを利用している場合は、定期的にアップデートを実施し、最新の状態に保つようにしましょう。
アンチウイルス・EDR導入する
「アンチウイルスソフト」や「EDR(Endpoint Detection and Response)」といった、エンドポイントのセキュリティ対策ツールは、RATをはじめとするマルウェア対策に有効です。
アンチウイルスとは、マルウェアなどの悪意のあるソフトウェアから、システムを保護するために設計されたプログラムのことです。
活用することで、エンドポイントに侵入しようとするマルウェアを素早く検知し、ブロックすることが可能です。
一方EDRは、PCやスマートフォンなどのエンドポイントにおける不正な挙動を速やかに検知し、セキュリティ監視者へ通知するセキュリティーソリューションです。
EDRを活用することで、エンドポイントにおける不審な挙動を早期に検知できるだけでなく、事後調査やマルウェアの隔離・駆除が可能になります。
アンチウイルスとEDRを併用することで、万が一RATがアンチウイルスをすり抜けて侵入してしまっても、EDRで素早く脅威を検出し、隔離や駆除をおこなうことができます。
RAT対策ならアンチウイルス✕EDR✕MDRを提供する「Auroraシリーズ」におまかせ
一度感染すると連鎖的に恐ろしい被害が発生する「RAT」だからこそ「感染予防」と「感染後の早期対応」の2点が重要です。
「LANSCOPE サイバープロテクション」では、RATにおける上記の課題を解決できるエンドポイントセキュリティ「Auroraシリーズ」を提供しています。
「Auroraシリーズ」は、アンチウイルスを中心に以下3つのサービスを提供しています。
- 最新のアンチウイルス「Aurora Protect」
- EDR「Aurora Focus」
- EDRを用いた運用監視サービス「Aurora Managed Endpoint Defense」
アンチウイルスは、EDRと掛け合わせることで、より強固なエンドポイントセキュリティ体制を確立できます。
Auroraシリーズでは、アンチウイルスのオプション機能として「EDR」を導入できるため、お得にかつ同一シリーズ内で、エンドポイントセキュリティの強化を図ることが可能です。
また、EDRの導入に関心があるものの「EDRによるセキュリティ監視に手が回らない」という声も多く、アンチウイルスとEDRの併用が出来ていないケースも少なくありません。
そんなお客様のため、EDR運用をセキュリティの専門家が代理で運用するのが、MDR「Aurora Managed Endpoint Defense」です。
セキュリティのプロが24時間365日監視をおこなうため、より確実にマルウェアの侵入からお客様のエンドポイントを保護することが可能です。
また、Auroraシリーズは、アンチウイルスのみ、アンチウイルス+EDRのみ導入するなど、柔軟な提案も可能です。侵入前・侵入後のマルウェア対策を両立することで、お客様の大切な情報資産を守りましょう。
マルウェア感染や不正アクセスを受けたかも……事後対応なら「インシデント対応パッケージ」
「マルウェアに感染したかもしれない」「サイトに不正ログインされた痕跡がある」など、「サイバー攻撃を受けた後」に、いち早く復旧するためのサポートを受けたい場合は、プロがお客様に代わって脅威に対処する「インシデント対応パッケージ」の利用がおすすめです。
「LANSCOPE サイバープロテクション」のインシデント対応パッケージは、フォレンジック調査の専門家がお客様の環境を調査し、感染状況や影響範囲を特定します。
また、マルウェアや脅威の封じ込めから復旧支援、さらに今後の対策に関するアドバイスまでを提供します。
インシデント対応パッケージについて詳しく知りたい方は、下記のページをご確認ください。
まとめ
本記事では「RAT」をテーマに、その概要や対策について解説しました。
本記事のまとめ
- RATとは、コンピューターに不正に侵入し、遠隔操作を可能にしてしまうマルウェアの一種である
- RATは、「リモートアクセス型トロイの木馬(Remote Access Trojan)」とも呼ばれる
- RATの被害として、個人・機密情報の窃取、盗聴・盗撮、標的型攻撃などより高度なサイバー攻撃の踏み台にされることなどが挙げられる
- RATへの対策としては、不審なファイルやURLを開かない、OSやアプリケーションを最新の状態に保つことなどが挙げられる
- RATをはじめとするマルウェアへの対策には、エンドポイントセキュリティ製品の「アンチウイルス」と「EDR」の併用が有効である
RATはバックグラウンドで活動することから、感染に気がつきにくい傾向があります。
「気がついたときには甚大な被害が発生していた」といった事態を避けるためにも、アンチウイルスやEDRを導入して、エンドポイントセキュリティを強化しましょう。
また、RATは「有益なソフトウェア」などに偽装するケースも報告されているため、非公式のアプリやソフトウェアを安易にダウンロードしないことも重要です。
企業・組織の担当者は、有益なセキュリティソリューションを導入するだけでなく、安易に添付ファイルを開かない、不審なアプリをダウンロードしないなど、従業員のセキュリティ意識の向上を目指しましょう。
本記事で紹介した「Auroraシリーズ」は、3製品セットでの提供はもちろん、アンチウイルスのみ、アンチウイルス+EDRのみ提供するなど、柔軟な活用が可能です。
他にも、運用を専門家に任せられるMDRサービスもご用意しているため、自社の状況に応じて、適切な対策を選択することが可能です。
セキュリティ強化を目指す企業・組織の方は、ぜひ導入をご検討ください。
もしもRATを含むマルウェアに感染した場合は、OSを再インストールしたり、感染したデバイスでネットワークに接続したりしてはいけません。
このようなマルウェア感染時のNG行為をまとめた資料をご用意しましたので、ぜひあわせてご活用ください。
マルウェア感染時のNG行動とは?
「えっ!それやっちゃダメだったの!?」マルウェア感染の被害を拡大しないために知っておきたいNG行動をまとめました。専門家が教える感染時の正しい対処法もお伝えします。
おすすめ記事
