リモート・アクセス・トロイの木馬 (RAT)

リモートアクセス型トロイの木馬とは?

リモート・アクセス・トロイの木馬(RAT)とは、マルウェアの一種で、脅威者が感染したシステム上で遠隔地からコマンドを実行できるようにするものです。RATはシステムへのバックドアであり、ファイル、キー入力、パスワード、スクリーンショット、Webカメラの映像や音声などの情報を盗むための実用的なツールです。

RATマルウェアは、デスクトップPCやノートPC、携帯電話、タブレット端末、IoTデバイス、プリンタやFAXなどの周辺機器、ホームセキュリティ製品、スマートホームデバイスなど、ネットワークにアクセスできるあらゆるデバイスに感染する可能性があり、標準的なオペレーティングシステムであればどのようなものにも対応します。RATの中には、特別に設計されたマルウェアもありますが、正規のネットワーク運用を目的とした正規のネットワーク管理ツールの多くも、リモートシステム制御機能を提供するため、RATとして使用される可能性があります。

RATは、トロイの木馬型マルウェアのサブカテゴリーです。トロイの木馬とは、実行可能なアプリケーション、ドキュメント、またはファイルであり、典型的な無害な機能のように見える実行可能コードが埋め込まれています。トロイの木馬には悪意のある隠しコンポーネントが含まれており、ターゲットのデバイスに感染したり、危害を加えたりします。

リモートアクセス型トロイの木馬の仕組み

トロイの木馬化されたファイルは、通常、正規または海賊版のソフトウェアアプリケーション、Microsoft Officeドキュメント、または圧縮ファイル(通常は.zipまたは.rar)として表示され、ソーシャルエンジニアリングキャンペーンに含まれて、ターゲットがそれらを開くように誘惑します。場合によっては、トロイの木馬化されたファイルは、高リスクのファイルをフィルタリングするファイアウォールを通過するために、偽の、または難読化されたファイル拡張子を使用して、画像ファイルとして表示されることがあります。トロイの木馬は、フィッシングやマルスパム・キャンペーンを通じて配布されたり、悪意のあるウェブサイトや正規のウェブサイトからダウンロードできるようになったりします。また、脆弱性の悪用、物理的な直接アクセス、餌としてのUSBキーのドロップなどの攻撃ベクトルを介してインストールされることもあります。

ターゲットが無意識のうちにデバイスに感染すると、RATは新たな悪意のあるプロセスを起動するか、検出を回避するために正規のプロセスをハイジャックし、リモートコマンド&コントロールサーバ(C2)への接続を初期化します。RATが攻撃者のC2への接続を確立すると、ターゲットのシステムの仕様に応じて、追加のコードを自動的にダウンロードして実行したり、シェルコマンドを実行するための手動アクセスを攻撃者に提供したりします。 

RATは通常、.exeファイルのような実行可能ファイルを伴いますが、ステルス性を高めるためにRAM内のプロセスとしてのみ存在するファイルレスマルウェアもあります。RATが永続性を確立できれば、感染したシステムが再起動されるたびに実行されます。RATが感染したホストをどの程度制御できるかは、実行時の権限レベルによって決まります。RATがユーザーレベルの権限で実行された場合、ユーザーが許可したアクションしか実行できません。しかし、RATがシステムレベルの権限(管理者権限、アドミニストレーター権限、ルート権限など)で実行されるか、あるいはさらなる悪用によってシステムレベルの権限を獲得できる場合、攻撃者はほぼ無制限の攻撃範囲を持つことになります。 

リモート・アクセス・トロイの木馬攻撃を防ぐ方法

RATやその他のトロイの木馬型マルウェア感染のリスクを減らす方法はいくつかあります。最も良い方法は、既知の信頼できるソースからのファイルのみを実行したり開いたりすることです。つまり、公式ベンダーや公式アプリストアから直接入手したソフトウェアのみを起動することです。電子メールの添付ファイルとして送られてきたり、ダウンロード可能なドキュメントについても同様の注意が必要です。場合によっては、厳格なファイアウォールルールを設定することで、感染の可能性を減らしたり、RATがC2サーバーに戻る通信をブロックしたりすることができますが、これは必ずしも効果的な防御戦略ではありません。

エンドポイントセキュリティソフトウェアをインストールし、設定し、頻繁に更新することで、RATマルウェアに対する保護がさらに強化されます。

CylanceGUARD マルウェア対策

人間中心のサブスクリプション型24時間365日マネージドXDRサービス、 CylanceGUARD®は、企業がマルウェア攻撃を防止・防御するために必要な専門知識とサポートを提供します。CylanceGUARD は、マルウェア攻撃を防止・防御するために必要な専門知識とサポートを提供します。 BlackBerry Cybersecurity Servicesを通じたAIベースのエンドポイントプロテクション(EPP)と組み合わせています。 CylancePROTECT®によるAIベースのエンドポイントプロテクション(EPP)、およびオンデバイスによる脅威の検出と修復を組み合わせています。 CylanceOPTICS®.つまり、CylanceGUARD は、現代の脅威環境から企業を保護するために必要な人材とテクノロジーをビジネスに提供します。
詳細はこちら

関連リソース

リソース・アイコン データ損失防止(DLP) リソース・アイコン エンドポイントセキュリティ リソース・アイコン エンドポイント・プロテクション・プラットフォーム(EPP) リソース・アイコン エンドポイント検出と応答(EDR) リソース・アイコン エクステンデッド・ディテクション&レスポンス(XDR) リソース・アイコン アイデンティティとアクセス管理(IAM) リソース・アイコン マネージド・ディテクション&レスポンス リソース・アイコン マネージドXDR リソース・アイコン MITRE ATT&CK フレームワーク リソース・アイコン モバイル脅威防御(MTD) リソース・アイコン ユーザーとエンティティの行動分析(UEBA) リソース・アイコン ゼロ・トラスト・アーキテクチャ リソース・アイコン ゼロ・トラスト・ネットワーク・アクセス(ZTNA) リソース・アイコン ゼロ・トラスト・セキュリティ リソース・アイコン セキュリティ情報・イベント管理(SIEM) リソース・アイコン セキュアアクセスサービスエッジ(SASE)
その他のリソース