サイバー攻撃の裏口侵入「バックドア」を解説

  • この記事をはてなブックマークに追加
  • 本文印刷

 本記事はキヤノンマーケティングジャパンが提供する「マルウェア情報局」に掲載された「バックドアを利用したサイバー攻撃の仕組みと事例」を再編集したものです。

バックドアとは何か

 サイバー攻撃は年々巧妙化しており、セキュリティ対策が不可欠の時代となっている。サイバー攻撃の基本は、システムの脆弱性を突いて不正に侵入して攻撃することだが、システムがもともと有する脆弱性だけが対象となるわけではない。

 攻撃者が侵入するための侵入口を管理者に気づかれないように設置し、その後、その侵入口を用いて不正な攻撃を行なうという手法がある。こうした侵入口を「バックドア」と呼ぶ。バックドアとは、裏口という意味であり、システムに侵入するための新たな脆弱性となるのだ。

 バックドアは古くからある手法だが、バックドアを仕込む手法も巧妙化している。また、外部からのリモートアクセスにより、データを盗み出すようなマルウェアもバックドアと呼ぶことがあり、今なお大きな脅威であることには変わりがない。

バックドアが仕込まれる手口

 バックドアは、クライアント側、サーバー側の端末の双方をターゲットに仕込まれるが、それぞれ手口が異なる。代表的な手口は以下の通りだ。

クライアント側にバックドアが仕込まれる場合

・ダウンロードしたプログラムにトロイの木馬が仕込まれていた

 インターネットからダウンロードしたプログラムに、バックドアを作成する機能が含まれており、気がつかないうちにバックドアが作成されていたというケース。この種の一見無害なプログラムであるように見せかけながら、悪意のある活動をするように仕込まれているマルウェアはトロイの木馬と呼ばれる。

・メールの添付ファイルを開いて感染する

 メールの添付ファイルにマルウェアが仕込まれており、自覚なく実行してしまうことで、バックドアが作成されるケース。バックドアに限らず、マルウェアが侵入する典型的な手口である。

サーバー側にバックドアが仕込まれる場合

・システムの脆弱性を突いて侵入する

 攻撃者がサーバーのシステムやサーバー上で動作しているアプリケーションの脆弱性を突いて侵入し、バックドアが設置されてしまうというケース。一旦バックドアが仕込まれると、さまざまな被害を受けることになる。

 加えて、クライアント側、サーバー側ともにアプリケーションの開発中、機能テストなどのために意図的に組み込んだバックドアを消し忘れてリリースしてしまうといった、ヒューマンエラーに起因するケースもある。このようなケースを予防するためには、開発工程におけるテスト段階で繰り返してのチェックを行なうことを徹底する、といった方法がある。開発において、セキュリティ観点での検証は徹底したいところだ。

バックドアが設置されるとどうなるのか

 クライアントやサーバーにバックドアが設置されると、そのバックドアを設置した攻撃者が自由に遠隔から端末を操作できるようになってしまう。このような乗っ取りを受けると、以下のような被害を受ける可能性がある。

機密情報の盗難や破壊

 攻撃者の遠隔操作により、重要な個人情報や機密情報が盗まれてしまうだけなく、それらのデータが破壊されたり、書き換えられてしまうこともある。また、端末に搭載されているカメラやマイクを操作して、ユーザーの顔や部屋などの盗撮や音声の盗聴が行なわれることもある。

DDoS攻撃などの踏み台にされる

 バックドアから他者を攻撃するためのボットが侵入すると、DDoS攻撃や標的型攻撃の際の踏み台にされる可能性がある。踏み台にされると、他者への攻撃に加担することになるため、状況次第では、ほう助という立場で加害者としての責任を問われることもありうる。

操作記録(ログ)を盗まれる

 キーロガーと呼ばれるツールを仕込まれることで、キーボードやマウスなどの操作を記録し、攻撃者に送信されてしまう。攻撃者はその操作記録を解析し、ユーザーIDやパスワードなどのアカウント情報やクレジットカード情報などを盗み出す。

勝手に掲示板などへの書き込みが行なわれる

 攻撃者が遠隔操作により、インターネットの掲示板などに犯行予告を書き込むといった、違法行為を行なう。このような場合、ログに残される情報は攻撃者のものではなく、ユーザーのものとなるため、犯罪者とみなされてしまう可能性がある。過去には、実際に誤認逮捕に至った事例も存在する。

バックドアによる被害事例

 バックドアによる被害は今も後を絶たない。代表的な事例としては、以下のようなものがある。

パソコン遠隔操作事件

 2012年、国内の複数パソコンから掲示板への犯罪予告の書き込みが行なわれ、4人もの人間の誤認逮捕に繋がるという事件があった。真犯人は、少なくとも5人にトロイの木馬を感染させ、端末にバックドアを設置。そこから端末を遠隔操作することで、無実の人間に罪を着せ、警察の失態を招いた。

Linuxディストリビューションにおける事例

 2016年、著名なLinuxディストリビューションのひとつ、「Linux Mint」のウェブサイトが何者かに改ざんされた。この際、バックドアが仕込まれたLinux Mintにファイルを置き換えられた。改ざんが発覚するまでの間にダウンロードを行なったユーザーに「Tsunami」と称するマルウェアが感染した可能性が指摘された。攻撃者の目的はボットネットを構築することだったと言われている。

暗号資産(仮想通貨)事業者における事例

 2019年、日本国内の暗号資産事業者における不正流出事件において、ウォレットサーバーにバックドアが仕込まれていたことが判明。このバックドアが秘密鍵に関する情報を外部に送信している可能性が指摘されている。このインシデントによる暗号資産の流出について、被害総額は当時の時価総額でおよそ30億円相当との発表が事業者からされている。

バックドアへの有効な対策

 バックドアを大きな脅威と捉え、適切な対策を講じなければならない。バックドアから端末を守る有効な対策は、基本的に一般的なマルウェア対策とほぼ同じであり、具体的には次の4点が挙げられる。

常にOSやアプリケーションを最新の状態に

 バックドアはOSやアプリケーションの脆弱性を突いて設置されることが多い。OSやアプリケーションを常に最新の状態にアップデートしておくことで、既知の脆弱性を修正しておくことが大切だ。

統合型セキュリティソフトの導入

 ESETのような統合型セキュリティソフトを導入することで、トロイの木馬などのマルウェアの侵入を防ぎ、怪しいサイトからのダウンロードをブロックすることができる。また、サーバーなどへの外部からの侵入を防ぐために、ファイアウォールなどを導入することも有効だが、統合型セキュリティソフトなら1本でファイアウォール機能も備えているので、安心だ。

信頼できるネットワーク製品の導入

 ネットワーク製品に関しては、パッチや情報の提供をきちんと行なってくれる信頼できるメーカーの製品を導入するようにしたい。素性が知れないメーカーの製品のなかには、あらかじめバックドアが仕掛けられている場合もある。また、最近では大手メーカーの製品でもバックドアの存在が発覚しているものもある。情報システム部門としては、自社内の設置機器を把握し、常に脆弱性情報などをキャッチアップすることが求められる。

信頼できないサイトからのダウンロードや怪しいメールの添付ファイルに気をつける

 Androidなどでは、公式ストア以外のサイトからもアプリをダウンロードすることができる。しかし、そのような配布元が信頼できないアプリは、マルウェアが仕込まれている可能性もあるため、ダウンロードしないようにしたい。また、標的型メールとして送り付けられてくるものも含め、怪しげなメールの添付ファイルについても同様、絶対に開封しないよう心掛けたい。

 バックドアはその仕組み上、一度作成されてしまうと、ユーザー自身で気づくのは難しく、その機能は維持され続けてしまう。しかし、ESET Enterprise InspectorのようなEDR(Endpoint Detection and Response)製品を利用することで、怪しいポートの検出や不審な動きをしているファイルを検出・駆除することができ、バックドアを検出する可能性が高まる。

バックドアに関する正しい理解が重要

 バックドアが設置されると、さまざまな被害遭遇の危険性が高まることになる。機密情報の窃取、重要なファイルの破壊、あるいはサイバー攻撃の踏み台にされるなど、広範囲に影響が及ぶ。そうした事態を避けるためにも、バックドアを設置させないことが何よりも大切になる。

 バックドアを仕込まれないようにするためには、今回紹介してきた基本的な対策はもちろんのこと、バックドアを仕込まれる可能性を踏まえた知識をユーザーそれぞれが常にアップデートし続け、行動に反映させていかなければならないことを強く意識してほしい。