ESET/マルウェア情報局
「パソコンが乗っ取られる」とはいったいどんな手口で行なわれるのか、またその対策は
本記事はキヤノンマーケティングジャパンが提供する「マルウェア情報局」に掲載された「遠隔操作でのっとられる?その手口と対策を解説する」を再編集したものです。
遠隔操作の基礎知識
遠隔操作(リモートコントロール)とは、物理的に離れた場所にある端末を操作することを指す。不正アクセスによりサイバー攻撃に利用されることもあるが、遠隔地にあるサーバーのメンテナンス、出張先などからの情報確認のために、一般的に利用されてきた技術である。近年普及が進むモバイルワークでは、場所を選ばずに業務を行なうスタイルが定着してきており、遠隔操作のニーズは増加している。
セキュリティ対策の観点からも遠隔操作は有益な側面を持つ。仮に端末を紛失、あるいは盗難に遭った場合に遠隔から内部の情報を消去できれば、安全性も高まる。それでは、遠隔操作を実現するための技術や手法には、どのようなものがあるのだろうか。
・リモートデスクトップ
最もシンプルで手軽ながら、多く利用されている遠隔操作の技術がリモートデスクトップだ。RDP(Remote Desktop Protocol)という通信プロトコルを用い、遠隔地にあるパソコンやサーバーなどの端末にアクセスして操作する。遠隔地にあるデスクトップの表示内容を手元にある端末の画面にそのまま表示できるため、操作性にも優れている。
リモートデスクトップで注意したいセキュリティのポイント
https://eset-info.canon-its.jp/malware_info/special/detail/200818.html
・VDI
リモートデスクトップの技術を活用してシンクライアントを実現する場合、ひとつのサーバーOSを複数人で共有しなくてはならないという問題が発生する。これを解決するために開発されたのが、VDI(Virtual Desktop Infrastructure)の技術だ。この技術を使うことで、それぞれのユーザーごとにサーバー上に用意された仮想環境を、遠隔にある端末から操作することが可能となる。
シンクライアントと何が違う?VDIの活用にセキュリティ上の課題はあるか?
https://eset-info.canon-its.jp/malware_info/special/detail/200526.html
・MDM
スマホやタブレットは持ち運びが容易である一方で、紛失や盗難の被害に遭いやすいリスクがある。そのため、遠隔からでもデータの消去、端末にログインができないようにロックするといったセキュリティ対策が必要となる。
こうしたニーズに応えるのがMDM(Mobile Device Management)だ。遠隔から操作したいモバイル端末にあらかじめMDMツールをインストールしておき、紛失・盗難の際に遠隔からデータ消去や端末ロックに対応する。
キーワード辞典 MDM
https://eset-info.canon-its.jp/malware_info/term/detail/00131.html
・リモート保守ツール
パソコンの保守を目的とした遠隔操作、あるいは緊急時にサーバーを遠隔からメンテナンスするニーズは高い。このような目的で使われるのがリモート保守ツールだ。一般的に、保守対象のパソコンやサーバーへ事前にソフトウェアをインストールし、遠隔から安全に操作ができるようにしておくものが多い。
遠隔操作を悪用するための手口
さまざまな方法で実用化されている遠隔操作だが、悪意のある第三者が不正に利用するケースも少なくない。攻撃者も複数の手口でパソコンに侵入し、遠隔操作を実現しようとする。以下、遠隔操作を悪用する手口を紹介していく。
・バックドア
バックドアとは、パソコンやスマホに作られる「裏口」のことだ。OSやハードウェアの脆弱性を悪用したり、予めソフトウェアにバックドアを仕込んでおいたりしておくことで、「裏口」から不正アクセスを行なう。結果として、悪意のある第三者が自由にその端末にアクセスできてしまう。ユーザー自身はバックドアの存在に気づきにくいため、知らず知らずのうちに遠隔操作されてしまうことになりかねない。
バックドアを利用したサイバー攻撃の仕組みと事例
https://eset-info.canon-its.jp/malware_info/special/detail/200825.html
・マルウェア
パソコンを乗っ取って遠隔操作することを目的としたマルウェアも存在する。メールの添付ファイルを開封、あるいは特定のウェブサイトの閲覧で感染するケースも確認されている。感染することで端末のリソースを勝手に使われる攻撃手法の代表例が、クリプトジャッキングだ。この被害に遭うと、ユーザーの許諾なく端末のリソースの一部を仮想通貨のマイニングなどに使われてしまう。
このように端末をユーザーの裏で不正利用するような攻撃以外にも、特定のサーバーへの不正アクセスやマルウェアの拡散など、ユーザーが意図しないさまざまな操作を遠隔から強制される可能性もある。自分の所有する端末が、いつのまにかDDoS攻撃に加担しているようなケースも考えられる。
・踏み台攻撃
標的とするサーバーを攻撃するために、踏み台として利用することを目的とした遠隔操作もある。攻撃対象のサーバーにアクセスするため、別の端末を狙ってこれを踏み台とし、間接的に攻撃を加えることになる。最近は大企業への攻撃を目的として、その取引先である中小企業を踏み台にするサプライチェーン攻撃が一般化している。
不正な遠隔操作の兆候
一度、端末に侵入され遠隔操作の対象になってしまうと、持ち主が気づかないまま放置されてしまう可能性もある。しかし、端末の挙動をチェックすることで、不正な遠隔操作の可能性を見出すことも可能だ。ここでは、その代表例を紹介する。
・処理速度が急に遅くなった
パソコンもスマホも処理速度が急激に遅くなった場合は、遠隔操作の可能性があるので注意が必要だ。先述のクリプトジャッキングにより、マイニング向けにリソースが使われている可能性も否定できない。場合によっては、DDoS攻撃や踏み台攻撃などの不正に加担していることもあるので、処理速度の低下は放置しないようにしたい。
・予期しない挙動
急な再起動や意図しない宛先へのメッセージ送信などは、不正な遠隔操作の可能性がある。メールやSNSのアカウントにログインされ、メッセージやメールをランダムに送信されてしまうケースもある。SNSなどでは不正利用が疑われる際に通知されるように設定しておきたい。
・過剰なデータ通信量
身に覚えのない大量のデータ通信がある場合は、不正な遠隔操作が疑われる。普段使っていない時間帯に通信が発生している場合も、遠隔操作を疑うべきだろう。スマホの場合、定期的に通信料のチェックをすることで未然に発見できる場合もある。
不正な遠隔操作への対応策
不正な遠隔操作を見抜く方法はあるものの、分かりにくい場合も少なくない。このため、まずはパソコンへの侵入を防ぐことが、不正な遠隔操作を未然に防ぐことに繋がる。具体的な対策を以下に紹介していく。
・OSやソフトウェアのアップデート
不正アクセスはソフトウェアの脆弱性を突くものが少なくない。常にOSやソフトウェアのアップデートをすることで、こうした攻撃を未然に防ぐことができる。Windowsの場合は、標準装備されているRDPの脆弱性を利用して、ランサムウェアの侵入経路になるケースも報告されているため、注意が必要だ。ただ、未知のセキュリティホールを狙うゼロデイ攻撃も増えているため、最新版にアップデートしておけば万全という認識は避けたほうがよい。
・セキュリティ対策ソフトのインストール
不正な遠隔操作はマルウェア感染をきっかけとするものが少なくない。このようなマルウェアの感染予防として、セキュリティ対策ソフトの導入が有効な手立てとなる。導入後、ウイルス定義ファイルを常に最新の状態にしておくことは怠らないようにしたい。
・ファイアウォールの設置
端末だけでの対策には限界があるため、ネットワークの内部から外部に向けた不正な通信を遮断するために、ファイアウォールを設置することも検討の余地がある。また、外部からネットワーク経由で侵入を試みる攻撃を検知し、通信を遮断することも可能なため、安全性が高まる。最近はセキュリティソフトの一つの機能として提供されていることも多い。適切に設定して利用するようにしたい。
サイバー攻撃に有効なファイアウォールの適切な設定とは?
https://eset-info.canon-its.jp/malware_info/special/detail/200714.html
遠隔操作の利便性を最大限に享受するために
遠隔操作というと、不正な使われ方が連想されがちだが、本来は利便性を高めるものとして存在している。特に、コロナ禍により一変した働き方において、遠隔操作の利用はもはや欠かせない存在となりつつある。遠隔操作を得体の知れないものとして利用を避けているようでは、企業の競争力が低下する要因にもなりかねない。どのような危険性があるのかを理解し、その対策を適切に講じておくことで、被害を最小限に抑制できるはずだ。上手に遠隔操作を活用することで、With/Afterコロナの時代に対応してほしい。