Written by Aimee
目 次
RATとは、コンピュータに不正に侵入し、遠隔操作を可能にしてしまうマルウェア(悪意のあるソフトウェア)のことです。PCの持ち主に気づかれないよう、まるで動物のネズミ(Rat)のように秘密裡に侵入し活動するといった特徴を持ちます。
「リモートアクセス型トロイの木馬(Remote Access Trojan)」と呼ばれることもあります。
RATに感染しても「端末がフリーズする」といった直接的な影響はありませんが、攻撃者はRATを遠隔操作することで、ユーザーの個人情報を盗み見たり、端末内のウイルス対策ソフトを停止させたり、別の攻撃を仕掛けるための踏み台に悪用したりすることが可能です。
企業はRATの手口や被害を理解した上で、常日頃からマルウェア感染に対するセキュリティの向上を図る必要があるでしょう。
この記事では、RATの機能や感染経路・対策などについて解説いたします。
▼この記事でわかること
- RATは、広義では遠隔操作を可能にするツールを指し、狭義ではコンピュータに不正に侵入し、遠隔操作を可能にしてしまうマルウェア(悪意のあるソフトウェア)を指す
- RATは有益なソフトウェアや信頼性のあるファイルに偽装し、ユーザーが気づかないうちにシステム内に侵入することが多く、この特徴がトロイの木馬と同じであることから「リモートアクセス型トロイの木馬」とも呼ばれる
- RATの主な感染経路としては、「メールの添付ファイル」「悪意のあるファイルのダウンロード」「Webサイトの閲覧」などがある
- RATの被害にあわないためには「メールの添付ファイルやリンクは安易に開かない」「アプリやソフトウェアは信頼できる物だけダウンロードする」「OSやアプリケーションを最新の状態に保つ」といった方法がある
- アンチウイルス・EDRを導入し、根本的にマルウェア感染を防ぐことも有効
RATとは
RAT(Remote Administration ToolまたはRemote Access Tool)は、広義では遠隔操作を可能にするツール全般を指しますが、狭義ではコンピュータに不正侵入し、遠隔操作を可能にしてしまうマルウェア(悪意のあるソフトウェア)を指します。
本記事では、狭義のRATについて解説していきます。
RATは、システムへの不正アクセスやメールの添付ファイルに仕込むなどの手口でターゲットのコンピュータに侵入する、潜伏型のマルウェアです。侵入後、RATは攻撃者と通信を行い、新たなマルウェアの送り込み、機密情報の窃取、PC設定の不正操作など悪事に用いられます。
また攻撃者はターゲットのデバイス内をRATで自由に調査したり、感染したPCを辿って他のネットワークやコンピューターへ、不正アクセスを拡大したりすることも可能です。
そのため、攻撃までに入念な事前準備と情報収集を要する「標的型攻撃」のような巧妙なサイバー攻撃では、RATが活用されるケースが少なくありません。
※標的型攻撃…特定の組織や個人を狙うサイバー攻撃で、従来の「ばらまき型攻撃」の対極にある。高額な金銭の要求や機密情報を盗むことを目的としており、計画的な犯行が多い点も特徴。
RATは別名「リモートアクセス型トロイの木馬」と呼ばれる
RAT(Remote Administration Tool)は、一見「有益なソフトウェア」などに偽装してユーザーにダウンロードされ、気づかれないうちにシステム内へ侵入する手口が一般的です。
このように「正規のソフトウェアやファイル」を装ってシステムに侵入するタイプのマルウェアを、「トロイの木馬」と言います。実際、RATも同様の特徴をもつことから「リモートアクセス型トロイの木馬(Remote Access Trojan)」とも呼ばれています。
トロイの木馬およびRATは、標的のコンピュータへ自由に侵入・操作できるよう「バックドア」という侵入口を仕掛けるマルウェアです。
バックドアとは、攻撃者がいつでも対象のシステムへアクセスできるよう、システムに出入口を設置する手口・またはマルウェアそのものを指します。バックドアが作成されると、攻撃者は認証システムやセキュリティ対策を回避し、自由にターゲットのシステムへ侵入することができてしまいます。
RATの主な感染経路
RATの主な感染経路として、以下のような例が挙げられます。
- 1. メールの添付ファイルやURLのクリックで感染させる
- 2. RATを埋め込んだWebサイトを閲覧させ、感染させる
- 3. 悪意のあるファイルをダウンロードさせ感染させる
- 4. 外部メディア(USBメモリなど)の接続で感染させる
1. メールの添付ファイルに仕掛けて感染させる
RATに感染してしまう経路として多いのが、メールの添付ファイルです。
攻撃者が、添付ファイルにRATを仕込んだメールを送り付け、受信者が添付ファイルを開いてしまうことで感染します。
または、メールの本文に記載されたリンクをクリックすることでユーザーを不正なサイトに誘導し、RATをインストールさせるといった手法もあります。
2. RATを埋め込んだWebサイトを閲覧させ、感染させる
Webサイトへ訪問・閲覧するだけで、マルウェアに感染してしまう手口もあります。ドライブバイダウンロードと言います。
ユーザーは改ざんされた悪質なサイトへの訪問で、知らないうちにRATへ感染させられることがあります。
3. 悪意のあるファイルをダウンロードさせ感染させる
一見有益なソフトウェアやアプリケーションにRATを仕込み、ユーザーにダウンロードさせ感染させる手口です。
信頼性のあるサービスの模倣サイトを作成して偽のダウンロードリンクを設置したり、アップデートを装ったりする、巧妙なケースもあります。
4. 外部メディア(USBメモリなど)の接続で感染させる
RATを埋め込んだUSBメモリやCD-ROMをユーザーに配布して、感染させるケースもあります。
RATに感染した場合の被害とは?
RATに感染した場合、以下のような被害が想定されます。
- ● 個人・機密情報を自由に盗み見られる
- ● マイクやカメラで盗聴・盗撮が行われる
- ● 標的型攻撃など高度なサイバー攻撃に悪用される
1. 個人・機密情報を自由に盗み見られる
RATに感染すると、感染先の端末の操作内容をリアルタイムで監視することが可能になります。
RATに感染したことに気付かず取引先とメールをやり取りしたり、重要な文書を閲覧したりすると、攻撃者に情報が筒抜けになり、自由に盗み見ることができてしまいます。
また、RATには「キーロガー」という別のマルウェアが組み込まれていることもあります。
キーロガーというのは、ユーザーがキーボードで入力した情報を記録するソフトウェアまたはハードウェアのことです。攻撃者にキーロガーを悪用されると、ログイン時のパスワードや暗証番号を盗まれ、不正利用されるリスクがあります。
2. マイクやカメラで盗聴・盗撮が行われる
RATに感染すると
- ・ Webカメラによる撮影
- ・ マイク機能による音声の録音
などを遠隔操作で実行することが可能となります。
実際米国では、RATに感染したPCのWebカメラが遠隔操作され、攻撃者は女性が自宅で着替えている様子盗撮。「撮影した写真をネット上に公開する」と、女性に脅迫する事件が発生しました。
3. 標的型攻撃など高度なサイバー攻撃に悪用される
RATはしばしば「標的型攻撃」のような、より高度なサイバー攻撃を仕掛けるための「駒」として悪用されます。
標的型攻撃とは、不特定多数ではなく「特定の組織や企業」を対象に、計画的かつ継続的に行われるサイバー攻撃を指します。ランサムウェア攻撃のような「金銭や貴重な情報資産」を目的とした攻撃が多く、攻撃者は特定の組織や個人をターゲットに、早い段階から情報収集や準備に取り掛かるのが特徴です。
標的型攻撃は侵入後、システム内の「閲覧」、「セキュリティソフトの制御・停止」「情報収集」などを秘密裡に行う必要がありますが、これらと作業と遠隔操作が行えるRATは非常に相性の良いマルウェアというわけです。
RATの攻撃手順
上述した通り、RATは「標的型攻撃」に頻繁に用いられるマルウェアです。
「標的型攻撃メール」を例に、RATの攻撃手順について解説します。
1. 攻撃者が標的型攻撃メールを送る
攻撃者は、添付ファイルにRATを仕込んだメールをターゲットに送ります。
この際、受信者と近しい関係にある取引先担当者や信頼性の高い公的機関を装うなど、受信者が信頼しやすい攻撃メールを送るのがポイントです。
2. 標的がメールの添付ファイルを開いてしまいRATに感染
添付ファイルは一見するとただのExcelファイルやPDFと相違ありません。
受信者は疑いを持たず添付ファイルを開き、RATに感染してしまいます。
3. 標的のコンピュータにRATが侵入し、バックグラウンドで個人情報の収集などを行う
PCがRATに感染したことで、攻撃者は感染したデバイスにRATを介してリモートでアクセスし、自由にデバイスを制御できるようになりました。
これにより、攻撃者は感染したデバイスのバックグラウンドで悪意のある活動(機密情報や個人情報の収集など)を行います。キーロガーの機能を使ってパスワードを入手したり、画面やテキストのキャプチャを外部へ送信したり、ファイルへ不正アクセスしたりといった具合です。
しかしユーザーは直接的な被害がないことから、これらの悪事に長期間気づくことができません。
4. RATに感染したデバイスは、新たなサイバー攻撃の踏み台に
感染した端末内で悪事を働くだけでなく、RATはしばしば、次のサイバー攻撃の踏み台として悪用されます。
標的型攻撃のための情報窃取をはじめ、ボットネットの一部としてDDoS攻撃を仕掛けたり、ランサムウェアに感染させファイルを暗号化したり、メールアカウントを乗っ取って大量のスパムメールをばらまいたりするケースもあります。
RAT感染により約700万人の個人情報が漏洩した被害事例
日本の大手旅行代理店にて顧客情報の入ったサーバが不正アクセスを受け、約700万人の個人情報が漏洩する、大規模な事件が発生しました。
事件の経緯としては、同年3月にグループ会社の従業員が、取引先を装ったメールの添付ファイルを開封しRATに感染。RATと攻撃者間での通信を、旅行代理店を担当するセキュリティベンダーが検知したことで、不正アクセスが発覚しました。
調査の結果、約700万人もの個人情報が流出した可能性があり、さらのその中にはパスポートの情報をはじめ、住所、氏名、性別、生年月日、メールアドレス、電話番号などが記載されていたとのことです。
実際には、不正アクセスを検知してからベンダー側が対処するまでの5日間で情報が窃取されたと言われており、攻撃の検知だけでなくその後の適切な対応まで、事前に取り決めることの重要性を認識できる事件となりました。
RATの被害にあわないための対策
RATの被害にあわないためには、以下のような「マルウェアに対する基礎対策」をしっかり行うことが重要です。
- 1. メールの添付ファイルやリンクは安易に開かない
- 2. アプリやソフトウェアは信頼できるところからダウンロードする
- 3. OSやアプリケーションを最新の状態に保つ
- 4. マルウェア対策に有効なアンチウイルス・EDRを導入する
1. メールの添付ファイルやリンクは安易に開かない
不審な送信元、身に覚えのないメールは「マルウェア感染」の危機感をもって接しましょう。
- ・ 送信元のメールアドレスがフリーアドレス
- ・ 宛名が明記されていない、「皆さま」など抽象的
- ・ 本文中の日本語が不自然
- ・ 焦燥感や興味を沸かせるような内容
こういった特徴が該当する場合は、攻撃メールの可能性があるため注意が必要です。添付ファイルや本文に貼られたリンクは、安易に開かないようにしましょう。
企業・組織の場合は、社内でセキュリティ研修などを実施し、標的型攻撃メールが届いた時の具体的な対応方法などをレクチャーしておくことが重要です。
2. アプリやソフトウェアは信頼できるところからダウンロードする
RATに感染するリスクを低減するためにも、アプリやソフトウェアのダウンロードは信頼できるサービス・企業のものに限定しましょう。
企業・組織であれば、特定のアプリやソフトウェア以外のダウンロードを、端から禁止しておくのも1つの手段です。あるいは管理者の指示を仰ぐといったルールなどを定めることで、不審なソフトウェアに起因するRAT感染を防止することが可能です。
3. OSやアプリケーションを最新の状態に保つ
攻撃者はしばしばOSやソフトウェアの脆弱性(セキュリティ上の欠陥)をついて、不正アクセスをやマルウェア感染といった攻撃を仕掛けてきます。
これらの脆弱性を無くすには、最新の状態にOSをアップデートし、セキュリティパッチを適用することが必要です。定期的なアップデートを行い、オペレーティングシステムやアプリケーションを最新の状態に保つようにしましょう。
4. マルウェア対策に有効なアンチウイルス・EDR導入する
「アンチウイルスソフト」や「EDR(Endpoint Detection and Response)」といった、エンドポイントのセキュリティ対策ツールを導入することも、RATをはじめとするマルウェア対策に欠かせません。
アンチウイルス=ウイルス対策ソフトを指し、PCやモバイル端末に感染しようとするマルウェアを、侵入前に素早く検知しブロックする役割を持ちます。アンチウイルスにも様々な種類がありますが、挙動の少ないRAT対策であれば、秘密裡に活動するマルウェア検知も可能な、優秀なアンチウイルスの導入がおすすめです。
また「EDR」とは、ユーザーが利用するエンドポイントデバイス(パソコンやサーバなど)の内部で、不審な挙動の検知・事後調査やマルウェアの隔離・駆除といった作業が行えるセキュリティソリューションです。
アンチウイルスとEDRを掛け合わせことで、ユーザーは侵入前後両方のRAT感染から、大切なPCやサーバを保護することができます。
RAT対策ならアンチウイルス✕EDR✕MDRを提供する「Cylanceシリーズ」にお任せ
一度感染すると連鎖的に恐ろしい被害が発生する「RAT」だからこそ「感染予防」と「感染後の早期対応」の2点が重要です。
「LANSCOPE サイバープロテクション」では、RATにおける上記の課題を解決できるエンドポイントセキュリティ「Cylanceシリーズ」を提供しています。
Cylanceでは、アンチウイルスを中心に以下3つのサービスを提供しています。
- 1. 最新のアンチウイルス「CylancePROTECT(サイランスプロテクト)」
- 2. EDR「CylanceOPTICS(オプティクス)」
- 3. EDRを用いた運用監視サービス「CylanceMDR」
アンチウイルスは、EDRと掛け合わせることで、より強固なエンドポイントセキュリティ体制を確立できます。Cylanceでは、アンチウイルスのオプション機能として「EDR」を導入できるため、お得にかつ同一シリーズ内で、エンドポイントセキュリティの強化を図ることが可能です。
また、EDRの導入に関心があるものの「EDRによるセキュリティ監視に手が回らない」という声も多く、アンチウイルスとEDRの併用が出来ていないケースも少なくありません。
そんなお客様のため、EDR運用をセキュリティの専門家が代理で運用するのが、MDR「CylanceMDR」です。セキュリティのプロが24時間365日監視を行うため、より確実にマルウェアの侵入からお客様のエンドポイントを保護することが可能です。
勿論Cylanceでは、アンチウイルスのみ、アンチウイルス+EDRのみ導入するなど、柔軟な提案も可能です。侵入前・侵入後のマルウェア対策を両立することで、お客様の大切な情報資産を守りましょう。
マルウェア感染や不正アクセスを受けたかも……事後対応なら「インシデント対応パッケージ」
- 「PCがマルウェアに感染してしまったかも」
- 「システムへ不正アクセスされた痕跡がある」
このようにサイバー攻撃を受けた”事後”に、いち早く復旧するためのサポートを受けたい場合は、プロがお客様に代わって脅威に対処する「インシデント対応パッケージ」の利用がおすすめです。
フォレンジック調査のスペシャリストがお客様の環境を調査し、感染状況と影響範囲を特定。マルウェアの封じ込めをはじめとした復旧支援に加え、今後どのように対策すべきかのアドバイスまで支援いたします。
「自社で復旧作業を行うのが難しい」「マルウェアの感染経路や影響範囲の特定をプロに任せたい」というお客様は、是非ご検討ください。
まとめ
本記事では「RAT」をテーマに、その概要や対策について解説しました。
本記事のまとめ
- RATとは、マルウェアの一種で、攻撃者はリモートでコンピューターシステムに密かに侵入し、遠隔操作を行うために使用される
- 攻撃者はターゲットのデバイス内を自由に操作できるため、情報収集を要する「標的型攻撃」に悪用される
- RATは「リモートアクセス型トロイの木馬(Remote Access Trojan)」とも呼ばれ、標的のコンピュータに侵入し、ユーザーに見つからないよう、攻撃者の指示で不正な操作を行う
- 被害として、個人・機密情報の窃取、盗聴・盗撮、標的型攻撃などより高度なサイバー攻撃の踏み台にされる、などが挙げられる
- 対策として不審なファイルやURLを開かない、ソフトウェアやOSのアップデート、アンチウイルスやEDRの使用が有効
RATはいつ誰が感染んしても不思議でなく、また感染したことに気づきづらい脅威です。日常から十分にマルウェア対策を行い、また万一感染が発覚した際の対応内容なども、定めておくことが重要でしょう。
また、RATを含むマルウェアに感染した際、OSを再インストールしたり、感染した端末でネットワークに接続したりしてはいけません。こういったNG行為をまとめた資料をご用意しました、ぜひ合わせてご活用ください。
おすすめ記事
