- 感染したコンピューターに攻撃者が後から気づかれずに遠隔アクセスできる「隠し入口(バックドア)」を作り込む種類のマルウェアのこと
- 感染後は攻撃者がそのPCを遠隔操作・情報窃取・他のマルウェアのインストール・ボットネットへの組み込みなどに利用できる状態になり、長期間気づかれないまま悪用されるケースが多い
- C2(コマンド&コントロール)サーバーと通信して攻撃者からの指示を受け取る仕組みを持ち、フィッシングメール・ドライブバイダウンロード・ソフトウェアの脆弱性を経由して侵入する
【深掘り】これだけ知ってればOK!
バックドア型ウイルスが作るバックドアの種類を理解しよう。ネットワークバックドア:特定のポートを開けて外部からの接続を待ち受ける。アカウントバックドア:隠しユーザーアカウントを作成してパスワードを攻撃者に通知する。ウェブシェル:Webサーバーに悪意のあるスクリプトファイルを設置してHTTP経由で遠隔操作できるようにする。リバースシェル:感染PCが攻撃者のサーバーに自ら接続するため、ファイアウォールで着信をブロックしても防げない。
感染の典型的な経路として、フィッシングメールの添付ファイル(悪意のあるWordマクロ・PDF・ZIP)・ドライブバイダウンロード(脆弱なブラウザへの自動インストール)・ソフトウェアの脆弱性(パッチ未適用のOS・ミドルウェア)・正規ソフトウェアのサプライチェーン汚染(SolarWindsのケース)がある。
バックドアを仕込まれた際のインシデントレスポンスでは、まず感染端末をネットワークから隔離して侵害の範囲を特定することが最優先だ。デジタルフォレンジック調査でC2通信の宛先・バックドアが作られた時期・何が窃取されたかを調査し、同様の侵害が他のシステムにも及んでいないか確認することが重要だ。
よくある誤解
バックドア型ウイルスに感染するとすぐに異常が分かると思っている
バックドア型ウイルスは長期間潜伏することを目的としているため、感染直後はほとんど異常が現れない。定期的なウイルススキャン・EDRによる行動監視・ネットワーク通信の監視を組み合わせて継続的に検出体制を整えることが重要だ。
バックドアはハッカーが手動で作るものだと思っている
バックドア型ウイルスは感染後に自動的にバックドアを設置する。マルウェアが自動でバックポートを開ける・隠しアカウントを作る・C2サーバーへの接続を確立するという一連の処理を自動実行するため、攻撃者は最初に感染させるだけで後はリモートからアクセスできる状態になる。
会話での使われ方
社内PCがバックドア型マルウェアに感染した可能性があります。まずそのPCをネットワークから即座に切断してください。侵害範囲の確認は後回しで、まず被害の拡大防止を最優先します。
セキュリティインシデント対応チームがバックドア感染発覚時の初動対応を指示している場面。
EDRのアラートでC2サーバーへの不審な通信が検知されました。該当端末の通信ログをフォレンジック調査して、いつからバックドアが開いていたか特定します。
セキュリティエンジニアがEDRのアラートを基にインシデントレスポンスを開始している場面。
SolarWindsのサプライチェーン攻撃の話、うちも他社のソフトウェアを大量に使っているから対岸の火事じゃないですね。ソフトウェアの完全性チェックを仕組みとして入れる必要があります。
CISOが著名なサプライチェーン攻撃の事例を踏まえて社内のセキュリティ対策強化の方針を経営層に説明している場面。
【まとめ】3つのポイント
- 感染後に気づかれにくい隠し入口を作り長期潜伏するマルウェア:バックドアは数ヶ月〜数年にわたって発見されないケースがあり、その間ずっと攻撃者が遠隔アクセスできる状態が続くため継続的な検出体制が必要だ
- EDRとネットワーク通信監視で早期検出の体制を整える:端末の行動監視(EDR)とC2サーバーへの不審な通信検出(ネットワーク出口の監視)を組み合わせることで、バックドアを早期に検出できる体制が整う
- 感染発覚時はまずネットワーク隔離・次に侵害範囲の特定の順で対応:パニックになって端末を操作し続けると証拠が失われるリスクがあるため、まず感染端末をネットワークから切断してデジタルフォレンジック調査で侵害の全容を把握することが正しい初動対応だ
よくある質問
-
Qバックドアとバックドア型ウイルスは同じですか?
-
A
バックドアはシステムへの不正アクセスを可能にする隠し入口の総称で、意図的に設置されるもの(正規ソフトウェアのデバッグ用バックドア・開発者の意図的な仕掛けなど)を含みます。バックドア型ウイルスはマルウェアがバックドアを自動的に作り込む種類のものを指します。
-
Qバックドア型ウイルスの感染を防ぐにはどうすればいいですか?
-
A
OSとアプリケーションを常に最新状態に保つ・EDRを導入する・フィッシングメール対策(添付ファイルの自動実行禁止・メールフィルタリング)・ソフトウェアのダウンロードは公式サイトからのみ行う・従業員へのセキュリティ教育の4点が基本的な対策です。
-
QRAT(Remote Access Trojan)とバックドア型ウイルスはどう違いますか?
-
A
RATはバックドア型ウイルスの一種で、感染したPCを遠隔操作(Remote Access)できるようにするトロイの木馬(Trojan)です。バックドア型ウイルスはより広い概念で、RATを含むバックドアを作るマルウェア全般を指します。
-
Qバックドア型ウイルスはウイルス対策ソフトで検出できますか?
-
A
既知のバックドア型ウイルスのシグネチャはウイルス対策ソフトで検出できます。しかし新型・未知のマルウェアや変形されたコードは検出できないことがあります。このためEDRのような振る舞い検知(シグネチャに頼らず動作のパターンで検出する手法)との組み合わせが重要です。
この用語と一緒に知っておきたい用語
| 用語 | この記事との関連 |
|---|---|
| バックドア | 本記事のテーマと実務上セットで使われることが多い用語です。正規の認証・セキュリティチェックをバイパスしてシステムに直接アクセスできるよう仕込まれた「隠し入口・裏口」のこと |
| マルウェア | マルウェアとの関係を知ると全体像がつかみやすくなります。Malicious Softwareの略(読み:マルウェア)。コンピュータやネットワークに害を与える悪意あるソフトウェアすべての総称だ |
| ネットワーク | ネットワークは関連分野でよく登場する重要キーワードです。複数のコンピュータや機器を結び、互いにデータをやり取りできるようにした網、それがネットワークだ |
| サーバー | サーバーを押さえると本記事の理解がさらに深まります。ネットワークを通じて情報やサービスを提供する側のコンピューターのこと。レストランで料理を運んでくれる給仕係(server)をイメージするとわかりやすいよ |
| フォレンジック | 本記事のテーマと実務上セットで使われることが多い用語です。セキュリティインシデントや犯罪後にデジタル機器のデータを証拠として収集・保全・分析する技術・手続きの総称。法科学(Forensic Science)のデジタル版だ |
【出典】参考URL
https://www.trendmicro.com/ja_jp/what-is/malware/backdoor.html :トレンドマイクロ「バックドア型マルウェアとは」
https://www.ipa.go.jp/security/vuln/websecurity-HTML-1_4.html :IPAのバックドアに関するセキュリティ解説
https://www.crowdstrike.com/cybersecurity-101/backdoor-attacks/ :CrowdStrikeによるバックドア攻撃の解説
コメント