バックドアとは?被害例と感染経路から見る効果的なセキュリティ対策

 バックドアはユーザーの知らないところで設置され、遠隔操作されてしまう、非常に危険な種類の攻撃です。本来は被害者のはずなのに、踏み台にされた結果、加害者になってしまうケースもあります。ここではバックドアを設置された場合の被害・感染経路・対策について考察していきます。

1. 用語~バックドアとは

1-1 バックドアとは

 元の用語である backdoor を訳すると、裏口ということになります。セキュリティ用語では、裏口という従来の意味から推測できるように、表口から入るのではく、正規の方法ではないやり方で、裏口から侵入するということを指します。
バックドアを仕掛けおくことで、一度侵入が成功すると、その侵入時に利用した脆弱性が使えなくなったとしても、攻撃者が後から自由に侵入できるようになります。このように、ユーザーが気付かないところで不正侵入される非常に危険な攻撃です。
 ランサムが猛威をふるっていますが、IPA(独立行政法人情報処理推進機構)の 調査によると、バックドア型のマルウェアも上位に入ります。
<不正プログラム検出数の推移>
※出所:IPA コンピュータウイルス・不正アクセスの届出状況および相談状況

1-2 バックドアのマルウェア

 バックドア型のマルウェアとしてはトロイの木馬と呼ばれるソフトウェアを送り込む方法があります。トロイの木馬とは、トロイア戦争でギリシア軍がトロイア軍を攻める際に、巨大な木馬の中に兵を潜ませて、敵の城内に木馬ごと兵士を侵入させ攻略したという故事から、正体を偽装して侵入し不正や破壊活動を行うことを指します。無害なファイルを偽装しておきながら、コンピュータに侵入し、その後不正な活動をすることが該当します。また、脆弱性を突かれてウィルスに感染し、バックドアを設置されるケースもあります。
 なお、経済産業のコンピュータウィルス対策基準では、コンピュータウィルスを、自己伝染機能・潜伏機能・発病機能のいずれか一つ以上の機能を持つものと定義しています。昨今は種類が増えて複雑化していますが、大きく分類した場合、自己伝染機能を持つウィルスとそれを持たないトロイの木馬は明確に異なるマルウェアとなります。
 もう少し掘り下げると、トロイの木馬は、ウィルスのように感染する宿主(ファイル)を必要とせず、単体(ソフトウェアとして)で活動できます。また、トロイの木馬は基本的には自己複製しないため、ウィルスのように端末から端末に感染を広げていくことがありません。 

2. 被害~バックドアを設置されると何が起こるのか

 攻撃者は不正侵入を継続して行うためにバックドア機能を備えたRATを悪用するケースがあります。RATはRemote Administration Toolの略で他のコンピューターを手元のコンピューターから操作するためのツールです。例えば、自席のデスクトップPCに、別フロアの会議室のPCからリモートデスクトップで入り、自席PCのデスクトップにあるファイルを開いたり、自宅や外出先から操作するといったことが可能で、正しく使えば便利な機能です。
 攻撃者がこれと同じような遠隔操作をできるツールとして悪用されたものが、攻撃目的で作られるバックドアツールです。
 悪意のあるRATに感染した端末はC&Cサーバに接続してバックドアを開き、攻撃者は端末に自由に接続できるようになります。そして端末を自由に操作されてしまうため、以下のような被害を受ける可能性があります。

・情報の搾取、破壊をされる
 遠隔操作されるため、パソコンを自由に使うことができます。情報の取得だけなく、ファイルの操作も可能になりますので、様々な個人情報や機密情報を搾取・ファイルなどの破壊も可能です。

・キーボード入力を記録(キーロガー)される
 パソコンの操作状況も漏れますので、IDやパスワードの搾取にとどまらず、どのような操作をしたのかといった情報も搾取することができます。

・踏み台にされる
 バックドアによって乗っ取られると標的型攻撃やDDos攻撃の踏み台に使うことができてしまいます。こうなってしまうと、そのパソコンの所有者がこれらの攻撃の加害者になってしまいます。

・勝手に掲示板などへの書き込みをされる
 遠隔操作によってそのパソコンからインターネットへの書き込みをすることも可能です。以前、本人の知らないところでパソコンを操作されてインターネット掲示板へ殺人予告などの勝手な書き込みをされ、誤認逮捕に至ったケースもあります。

 このように情報搾取による被害者になるだけでなく、端末の所有者が何もしていないのに、加害者になってしまうケースもあるのです。

3. 感染経路~なぜバックドアが設置されるのか

 そもそも何故バックドアが設置されてしまうのでしょうか。バックドアを仕込む代表的な経路として以下のようなケースがあります。

・プログラムのダウンロードでトロイの木馬に感染
 インターネットから無料ソフトをインストールしてバックドア型のトロイの木馬に感染する場合があります。

・メールの添付ファイルを開いて感染
 メールの添付ファイルに仕込まれたウィルスに感染してバックドアを設置される場合があります。

・脆弱性を突かれてシステムに侵入
 攻撃者が脆弱性を突いて特定の組織のシステムに侵入し、バックドアを設置する場合があります。

・製品開発時に組み込まれる
 製品の開発時に機能テストなどのためバックドア機能をもったプログラムを組み込むことがあります。本来、テスト完了後の製品販売時には取り外しているはずですが、そのまま出荷されて悪意のある第三者が悪用するという場合があります。

4. 対策~バックドアの被害に会わないために

 バックドアはランサムウェアなどのように感染時点でポップアップ表示されるマルウェアと違って、感染時点では攻撃者は何も行わないケースも多く、侵入に気づきにくいといった特徴があります。
 どのような対策をしていけばよいのかについて、個人の意識と組織の対策の視点から記載します。

4-1 各個人へ注意喚起を徹底する(個人の意識)

各端末のセキュリティ強化のため、各個人の意識の面では以下の点を徹底しましょう。
・フリーソフトなどで出所不明なプログラムを不用意にインストールしない
・不審なメールのURL、不審なSNSのURLはクリックしない
・知らない送信者からの添付ファイルを開かない、送信者名を知っていても送信元アドレスを確認するなど慎重に対応する
・ウィルスソフトによる対策を行い、常に最新版にしておく
・OSは最新版にしておく

4-2 ネットワークの管理などセキュリティ体制の強化(組織の対策)

 セキュリティ担当者は侵入された場合を想定して出口対策もしておくようにしましょう。
標的型攻撃は巧妙化しており、特定の端末が狙われた場合、100%攻撃を回避することは困難なため、端末が感染した場合を想定して出口対策も含めた多層防御が必要です。
 例えば、通常バックドアは感染した後、外部の指令サーバとの通信が行われるため、外部通信の制限をする(プロキシの認証)ことや外部通信の監視の強化などの対策は有効です。
代表的な対策は以下になります。
・バックドア検出ツールの定期的な実行
・不正なアクセスログの確認(ファイアウォールの設置、ゲートウェイでのチェック体制の強化)
・大量データの外部送信監視、制御
・外部に出ていくデータの暗号化

4-3 バックドア検出・除去のソリューション

 攻撃者は高度なマルウェアを組織内に侵入させ、正当な操作や通信を装って情報を盗み出します。こうした高度なマルウェアの対策として、脅威の検出と修復を行い、インシデントレスポンスを効率化するEDR(Endpoint Detection and Response)製品の導入が効果的です。
 各セキュリティベンダーでエンドポイント製品を取り扱っていますが、例えばMcAfee Active Response(MAR)といったマカフィーのEDR製品では、怪しいポートの検出や不審な動きをしているファイルの削除を行うことができます。

著者:マカフィー株式会社 マーケティング本部

導入前に押さえたい 運用基盤としてのSIEM 活用ポイント

セキュリティ運用効率化の実現基盤としてのSIEMについて、マカフィーが実際にお客様のSOC の体制確立の支援時に提供している、SIEM 導入前の計画から運用を開始までの流れや、継続するために提供しているサービス例も交えて、ホワイトペーパーとしてまとめました。

■ホワイトペーパー記載内容■
・SIEM と運用の効率化
・効率化:運用のどんな作業が楽になるのか?
・基盤:ログの統合、ノウハウ蓄積、情報共有
・不安:使いこなせるのだろうか?
・注意!:SIEM の有効活用は導入前に決まる?
・ビフォー・アフター:ログ・ノウハウ・情報の共有基盤化

この資料を読むことで、SIEM活用のポイントが理解でき、導入を成功させるための注意点を把握することができます。SIEMに興味がある方は是非ダウンロードしてお読みください。