バックドア攻撃

バックドアとは？

バックドア攻撃の最も基本的な定義は、導入済みのセキュリティ対策を回避し、マルウェア、ウイルス、その他の技術を用いてアプリ、システム、ネットワークへ不正アクセスすることです。通常のウイルスやマルウェアとは異なり、バックドア攻撃は対象アプリの核心部に到達し、重要な運用者や管理者として機能する場合が多いです。

これほど深いレベルへアクセスできると、被害の範囲は計り知れません。攻撃者はインフラ全体または一部を書き換え、対象システムを自分の意のままに動作させ、重要データを盗むことが可能です。

これらの行為は甚大な影響を与える可能性があるため、関連する脅威の存在に常に注意を払い、バックドア攻撃の対策方法を学ぶことが推奨されます。

仕組み

バックドア攻撃の動作は、どのようにシステムへ侵入するかに依存します。一般的な侵入経路としては、マルウェアの利用やバックドア専用のソフトウェア／ハードウェアの使用があり、以下にその詳細を説明します。

1. バックドア型マルウェア

このマルウェアは、偽装技術により別物のように振舞い、データ窃盗、マルウェアの導入、システムへのバックドア作成といった行為を円滑に実行できるようにします。

トロイの木馬と似た挙動を示すため、『バックドア・トロイ』と呼ばれることもあります。理解を深めるには、トロイの木馬の動作方法を知る必要があります。

トロイの木馬は悪意ある内容を含むファイルで、メール添付、ダウンロードファイル、その他のサイバー脅威として配布されることがあります。さらに、ワームのように自己複製・拡散する能力を持つため、追加の作業を必要とせずに他システムへ広がる場合もあります。

いずれの形態であっても、トロイの木馬は有害で、対象に重大な被害を与えるリスクがあります。

2. 組み込み型／専用バックドア

これは、緊急時に所有者が利用するためのバックドアと考えることができます。この種のバックドアはソフトやハードの専門家によって設置され、必ずしも悪意があるわけではありません。ソフトの一部として組み込まれ、所有者や開発者が即時にアプリへアクセスできるようにします。

この即時アクセスにより、コードのテスト、ソフトのバグ修正、さらには隠れた脆弱性の発見が、認証プロセスに頼らずに実施できるようになります。

多くの場合、最終製品のリリースや納品前に削除されることはなく、場合によっては一部ユーザーのみが即時アクセスできるよう安全対策が施されています。しかし、組み込みバックドアが不具合や過失により元のソフトと共に提供される事例もあります。

さまざまなバックドアの種類

バックドアには様々な種類があり、それぞれ異なる攻撃手法が存在します。

1. 暗号バックドア

暗号バックドアは、暗号化されたデータの背後に隠された全てを解錠するためのマスターキーと考えられます。一般的に、データはAES-256ビット暗号などで守られており、通信する双方に暗号解読用の鍵が与えられます。

このバックドアは、その仕組みに侵入し、重要な暗号鍵を入手、他者より先に安全な情報へアクセスします。

2. ハードウェアバックドア

この種のバックドアは、チップ、CPU、ハードディスクなどのハードウェア部品を利用してシステムに侵入します。改変された部品を使い、攻撃者は対象システムのルート権限を狙います。さらに、パソコン以外にも、電話や家庭用防犯システム、サーモスタットなど、部品が改変されシステムと接続されている場合、同様にハードウェアバックドアとして機能する恐れがあります。

こうしたバックドアは主に、データアクセス、監視、リモートアクセスに利用されます。

3. ルートキット

やや高度なマルウェアの一種であるルートキットは、攻撃者が対象OSから自らの活動を完全に隠し、ルート権限を強引に取得する仕組みです。権限を得ると、攻撃者はリモートでシステムを操作し、システムのダウンロード、ファイルの改変、全活動の監視などを次々と行うことが可能になります。

ルートキットの危険性は、任意のソフトやチップの形態を取ることができ、その動作が極めて巧妙なため検出が難しい点にあります。実際、様々な種類のルートキットが存在します。

例えば、OSのカーネルを狙うカーネルモードのルートキット、ユーザースペースに展開されるユーザー型、そしてMBR（マスターブートレコード）に影響を与えるブートローダー型などがあります。

4. トロイの木馬

前述の通り、トロイの木馬マルウェアは、正規のファイルになりすますことで、対象システムやパソコンからのアクセス許可を得ようとします。ソフトをダウンロードするたびに「insert-program-here による変更を許可しますか？」というメッセージが表示されるのがその狙いです。

通常、この段階ではトロイの木馬は隠れており、許可が与えられるとシステムにインストールされ、バックドアが作成されます。それにより、攻撃者は管理者相当の権限でシステムを自由に操作できるようになります。

バックドア攻撃の例

バックドア攻撃は至る所で発生しており、以下に最も悪名高い例を紹介します。

• 2017年、DoublePulsarがバックドア型マルウェアを含むと検出され、Windows PCの監視が可能となりました。これにより、攻撃者は大容量メモリを備えた強力な暗号ジャッカーを搭載し、ビットコインの採掘を目的としました。その結果、一つの暗号ジャッカーを発端として大規模な暗号採掘用ボットネットが形成されました。
• Dual-ECバックドア攻撃は、既存の暗号プロトコルの脆弱性を突くことで発生しました。Dual-ECの高度利用者は秘密鍵を用いて暗号を解読でき、NSAがこのプロトコルの採用を推進した結果、同プロトコルを利用する全通信が傍受され、数百万人がNSAの監視対象となりました。
• PoisonTapは有名なバックドア攻撃の例です。攻撃者はマルウェアを使用して、2段階認証で守られたサイトも含め、あらゆるウェブサイトへルート権限で侵入しました。
• 2014年、WordPressに複数のバックドアが確認されました。これらは難読化されたJavaScriptコードを含むプラグインで、感染すると隠し管理者アカウントの作成やデータ窃盗に利用されました。
• Borland Interbaseのバージョン4.0から6.0には組み込みバックドアが存在していました。ハードコードされたバックドアにより、複数のネットワーク経由でアクセス可能なアカウントが作成され、これによりデータベース内の全情報が把握可能となりました。最終的に2001年に修正されました。
• 2008年、Juniper NetworksのOSバージョン6.2.0以降全てに、攻撃者が管理者相当の権限を獲得できるバックドアが存在していました。
• セキュリティ研究者によると、C-DATAのOLT機器には複数のバックドアが仕込まれており、これはベンダーによって意図的に配置されたものとされています。

‍

攻撃者はバックドアをどのように活用するか

手法によっては、バックドアを利用して攻撃者は大きな力を得、以下のような深刻な被害をもたらす可能性があります。

• スパイウェア

感染したPCや機器上の全活動を記録・監視できるため、非常に危険なマルウェアです。閲覧したサイトや作成したファイルなど、あらゆる情報に攻撃者がアクセスできてしまいます。

• ランサムウェア

ランサムウェアは現実の身代金要求をデジタル化したもので、要求額が支払われるまで、システム、サーバ、ネットワークなどのリソースを完全に停止させます。通常、身代金は暗号通貨で要求され、秘密が保たれます。

• クリプトジャッキングマルウェア

クリプトジャッキングマルウェアは、他者のシステム、ネットワーク、通信回線を利用して暗号通貨の採掘を行うマルウェアです。

‍

バックドア攻撃を防ぐ方法

治療より予防が大切です。以下に、有効なバックドア攻撃対策を示します。

• 許容されるログイン失敗回数を制限し、ファイアウォールで不正アクセスを防ぐようにしましょう。
• 厳格なネットワーク監視体制を整え、セキュリティソリューションの監査、ネットワークの監視、そして必要に応じた技術の更新を行いましょう。ネットワーク資源は2段階認証で守ることが望ましいです。
• アンチマルウェアソフトを導入すれば、ウイルス、マルウェア、トロイの木馬などの脅威を自動で検出・除去し、システムを安全に保てます。
• 不正または未確認のウェブサイトやコンテンツへのアクセスは控えましょう。特に、無料のウェブサイトやソフトはウイルスや悪意ある内容が含まれている可能性があり、システムに深刻な被害を及ぼす恐れがあります。
• 高品質なパスワードマネージャーを活用して、強固かつ複雑なパスワードを作成・管理しましょう。頑強なパスワードは突破が困難ですが、各サイトや資源ごとに管理するのは手間がかかります。パスワードマネージャーがあればそれを容易に行えます。
• OSやソフトは常に最新の状態に更新しましょう。最新の状態であれば、攻撃への耐性も向上します。
• ファイアウォールを利用することで、全ての入出力トラフィックを監視し、不審な動きがあれば即時対処できるため、状況が大幅に改善されます。

‍

Wallarmによるバックドア攻撃の防止

Wallarmは先進的なAPIセキュリティおよび脅威防御ソリューションであり、脆弱性下においても重要なデジタル資産を守ります。バックドア攻撃を防ぐため、Wallarmは豊富な機能を備えたクラウドWAFとAPI Security Platformを提供し、REST、SOAP、GraphQLなど主要なAPIを守ります。さらに、APIと併せてサーバーレス環境も安全に保護します。

また、その脅威防御性能により、OWASP Top 10脅威、アカウント乗っ取り、APIの悪用、設定ミス、ビジネスロジック攻撃などから貴社を守ります。

WAFは設定や構成に大きな手間をかけず、DNS設定のわずかな変更で起動可能です。強固なバイパス耐性、LibDetection、RegExps不要といった先進技術が搭載されています。

完全自動化されたこのソリューションは、迅速なパッシブおよびブラックボックススキャンが可能です。さらに、高い統合性を持つため、貴社のサイバーセキュリティ担当者は既存のDevOpsやデジタルセーフティ体制と併用できます。バックドアネットワーク攻撃に備える上で、最適な選択肢と言えるでしょう。