RATとは？ - Remote Access Trojan

Remote Access Trojanとは？

これは、ターゲットPC上で管理者権限の命令を送るための裏口を持つマルウェアです。こうしたマルウェアは、通常、ゲームなどの正規アプリと共に忍び込んだり、メールの添付ファイルとして届けられたりします。本来のシステムに侵入されると、攻撃者はそれを使い、トロイの木馬を他の脆弱なPCに広げ、ボットネットを構築することがあります。

RATは管理機能を有するため、攻撃者は指定されたPC上で以下のような操作が可能です:

• キーロガーやその他のスパイソフトで利用者の行動を監視する。
• マスターカード情報や公的年金番号などの個人情報にアクセスする。
• システムのウェブカメラを起動し、動画を録画する。
• 画面のスクリーンショットを撮る。
• 感染したシステムやその他のマルウェアを乗っ取る。
• ドライブを暗号化する。
• ファイルやデータベースの削除、ダウンロード、変更を行う。

BACK ORIFICE ROOTKITは、知られているRATの中でも最も衝撃的な例のひとつです。プログラマー集団「Cult of the Dead Cow」が、MicrosoftのWindowsシステムの脆弱性を暴くためにBack Orificeを作成しました。

RATは通常、動作中のアプリの一覧に現れないため検出が難しく、その挙動も正規アプリのように見えることがあります。さらに、攻撃が行われても資源使用率が高いため、システムのパフォーマンス低下から問題に気づきにくいのです。

‍

Remote Access Trojanの仕組み

他のマルウェアと同様、Remote Access Trojanは一見正規のファイル、例えばメッセージやあらかじめインストールされたアプリとともに提供されることが多いです。しかし、指摘され発覚されると、その手口は急速に変化していることが見受けられます。

とはいえ、このマルウェアが特に危険なのは、正規のリモートアクセスアプリとそっくりに振る舞う点にあります。動作中のアプリ一覧に現れないため、存在が容易には把握されません。攻撃者は目立たずに行動する方が有利なため、徹底したセキュリティ対策をしていなければ、長期間にわたりPC内にRATが潜んでいても気づかれない可能性があります。

キーロギング（利用者が気づかぬうちにキーストロークを記録するマルウェア）や、PCやモバイル端末内の全データを暗号化し、身代金が支払われるまでアクセスを遮断するランサムウェアとは異なり、Remote Access Trojanは、見つからなければ攻撃者に感染システム上の完全な管理権限を与えます。

ご想像のとおり、このような行為は非常に脆弱な状況を招きます。例えば、RATとキーロガーが組み合わされれば、銀行口座や個人情報のログイン情報が簡単に取得される可能性があります。さらに、攻撃者は密かにPCのカメラやマイクを起動し、プライベートな写真やファイルにアクセスしたり、貴社のネットワークを中継サーバとして利用し、秘密裏に侵入を行うことも可能です。

Remote Access Trojanの検知

詐欺師が銀行のセキュリティを回避する手口を巧妙にしているため、防御システムもそれに合わせて進化する必要があります。多くのシステムは指紋認証やデバイス認証といった従来のセキュリティ対策に依存しているため、RATの存在を検知できません。このマルウェアは、本来の利用者が実際に操作している端末上で動作しており、あえて隠れる設計となっているからです。故に、銀行がRATやブラウザ内RATを効果的に検出するためには、複雑なセキュリティ対策が求められます。

さらに、二要素認証（PSD2などの新たな規制）はRATに対して限定的な防御しか提供できません。例えば、銀行が攻撃者にワンタイムパスコード（OTP）を要求した場合、攻撃者は実際の利用者のセッションを悪用してOTPを入手する可能性があります。

ソーシャルバイオメトリクスは、この種のマルウェア攻撃を検知し阻止する次世代のセキュリティ機能と位置付けられています。これは、デバイス認証と同様に利用者の行動や知的特性を分析し、利用者体験を損なわずに独自のバイオメトリック特性を高度なAI計算でプロファイリングする仕組みだからです。

例えば、マウスの動き、怪しいPC操作、入力の遅延などの行動パターンを学習することで、先進的なソーシャルバイオメトリクスは、微小かつ一時的な行動の変化を検知します。これらの重要な情報は、Remote Access Trojanによる侵入やアカウント乗っ取り（ATO）の兆候を示す可能性があります。

Remote Access Trojanへの対策

RATは、感染したシステム上で自らを隠し、攻撃者に秘密裏のアクセスを提供するために作られています。多くの場合、正規のアプリに悪意ある機能を付け加えることで、その目的を達成します。例えば、ハッキングされたゲームやビジネス用アプリが、マルウェアを組み込んだ状態で提供されることがあります。

RATの隠密性ゆえに対策が難しい場合がありますが、検出と影響の最小化には以下の方法が有効です:

• 感染経路の特定: RATは他のマルウェアと同様、対象PCに侵入し実行されて初めて脅威となります。フィッシング対策やシステムの定期的なアップデートにより、PCへの侵入リスクを低減できます。
• 不審な挙動の監視: RATは正規のアプリに偽装して悪意ある機能を追加しているため、例えばnotepad.exeが通常では発生しないネットワーク通信を行うなど、不審な行動が見られないかを監視します。
• ネットワークトラフィックの監視: RATは攻撃者がネットワーク経由で感染PCを操作する仕組みです。通常と異なるトラフィックが発生していないか確認することが重要です。
• 最小特権の実施: 利用者やアプリ、システムには業務遂行に必要な最小限の権限のみを与えることで、RATを用いた攻撃者の操作範囲を制限できます。
• ‍導入 多要素認証 (MFA): RATはオンラインアカウントのユーザ名やパスワードの取得を狙うため、多要素認証を導入することで資格情報流出の影響を抑制できます。