普段使っているパソコンやスマホがいつもと異なった挙動を見せたとき、「ウイルスに感染した？」「遠隔操作されているのでは？」と心配になりませんか？　実際、2012年には第三者のパソコンを遠隔操作し、殺害予告や犯罪予告を行った事件も起こっています。

このような遠隔操作ウイルス(RAT)に感染した場合、どのように対応すればよいのでしょうか？ この記事では、遠隔操作ウイルス(RAT)の手口や感染確認方法や対応方法を紹介します。

遠隔操作ウイルス(RAT)とは？

遠隔操作ウイルス(RAT)は、動物のねずみ(RAT)のようにユーザーに気づかれないようPCの内部へ侵入し、活動することからRATと呼ばれます。

攻撃者は、RATを利用することで遠隔でユーザーの個人情報を盗み見たり、端末内のソフトを停止させたり、別の攻撃を仕掛けるための踏み台に使う等を行います。

遠隔操作ウイルス(RAT)とは別名「リモートアクセス型のトロイの木馬」

遠隔操作ウイルス(RAT)は、有益なソフトウェアやファイルなどに偽造して、ユーザーにインストールしてもらい、気づかれないうちにシステム内へ侵入することが一般的な手口です。

似たような特徴を持つ有名なマルウェアとして「トロイの木馬」というものがあります。そのため、遠隔操作ウイルス(RAT)は「リモートアクセス型トロイの木馬」とも呼ばれています。

トロイの木馬に関して詳しく解説している記事はこちらです。

「トロイの木馬に感染しました」の警告は詐欺？サポート詐欺の対処法を解説「トロイの木馬に感染しました」とWindowsPCで表示されている状態は詐欺です。偽警告の危険性や対応方法を解説。こうした警告の手口を理解することで、効果的な対応、対策が可能です。デジタルデータフォレンジック（DDF）は24時間365日受付／法人様は最短30分で初動対応打合せ／即日現地駆けつけも可能。官公庁・上場企業・捜査機関・法律事務所等で実績多数！累積32,377件以上のご相談実績をもとに、インシデント原因や被害状況などスピーディーに調査します。...

遠隔操作ウイルス(RAT)の感染経路

遠隔操作ウイルス(RAT)は、侵入した端末に「バックドア」を開きます。バックドアは第三者が容易に不正侵入できる「裏口」としての役割を果たします。バッグドアが作られてしまうと、所有者が気付かないところで、情報を盗まれたり、不正な命令を行われてしまいます。

そもそも、遠隔操作ウイルス(RAT)はどのような手口で感染するのでしょうか？ ここでは主な手口を紹介します。

メールやBBS経由でウイルスを感染させる

遠隔操作ウイルス(RAT)の多くでは「ボット」が使用されています。ボットは世界中の感染端末をネットワークにすることで「ボットネット」を形成し、スパムの大量送付や、DDoS攻撃などを効率的に行います。なお、感染端末では「動作が鈍くなる」などの症状が見受けられることがありますが、ほとんどの場合、感染したことに気づかないケースが大半です。

ボットは、取引先や公共機関になりすました、不正メールを経由して感染します。また、感染は実在企業に酷似した偽サイトでも起こります。

アプリの不正インストール

遠隔操作アプリは、紛失・盗難にあった端末を、パソコンでの操作によりロックしたり探し当てたりすることができる、とても便利なアプリです。しかし、第三者が不正にインストールした場合には、悪質なストーカーアプリと化してしまいます。遠隔操作アプリの中には、インストールされていることに気づきにくいものも存在するので注意が必要です。

アプリの不正アクセス

IDやパスワードが悪意ある者に知られてしまえば、遠隔操作アプリを不正に使用されてしまいます。IDやパスワードは特定されずらいセキュリティーが強固なものに設定し、他人に教えないようにしましょう。

遠隔操作アプリを悪用する

これはウイルスではなく、正規の遠隔操作アプリを使ったパソコンの乗っ取り方法です。近年は遠隔操作アプリをセキュリティアプリと誤認させてインストールさせる手口が増えています。もしオンライン状態だと、情報が筒抜けになったり、遠隔操作が行われたりします。

また遠隔操作されると、メールの窃取や、SNSへの無断投稿といった被害につながるだけでなく、閲覧履歴をはじめプライベートな情報まで攻撃者に知られてしまう恐れがあります。

USBなどの外部メディアの接続

外部メディア内部にRATを埋め込んでその状態のものをユーザーに配布することで感染させるという手口があります。むやみやたらに外部メディアを指す行為を控えましょう。

上記で紹介した感染経路になりえる行動をして違和感がある方や不安に思う方がいましたらぜひ、DDFへご相談ください

遠隔操作ウイルス(RAT)による被害事例

遠隔操作ウイルス(RAT)による被害事例を以下で紹介します。

個人情報が盗まれる

遠隔操作ウイルス(RAT)に感染すると、外部に対しての攻撃に利用されるだけではなく、パソコン内の情報に対する盗みも働きます。たとえばクレジットカードの情報や、さまざまなサービスのID、パスワード等といった大切な個人情報が抜き取られてしまいます。

盗まれた個人情報や機密情報は、次のような経路で外部に流出することが想定されます。

もし企業の場合、顧客の個人情報が外部に流出すると、会社の信用を揺るがす事態に陥りかねず、最悪の場合、倒産してしまったり、従業員のリストラに結びつく恐れがあります。

マイクやカメラで盗撮・盗聴が行われる

遠隔操作ウイルス(RAT)に感染すると、カメラやマイクを遠隔操作され盗撮・盗聴が行われる可能性があります。場合によっては、その盗撮・盗聴したデータで攻撃者が脅迫するといったことも考えられます。

ネットワーク攻撃の「踏み台」とされる

パソコンを遠隔操作されると、乗っ取ったパソコンを利用し、サイバー攻撃の踏み台とされるリスクがあります。また攻撃者は乗っ取った端末を、それぞれネットワーク化することで、スパムメールの大量発信や特定サーバへのDDoS攻撃を可能としています。

勝手に掲示板に犯罪予告がされる

2012年、遠隔操作による犯罪予告が連続して起こり、世間を騒がせました。これは掲示板に記載されているリンクから、不正なソフトウェアをダウンロードさせるという手口です。

攻撃者はこれをもとに他者の端末を踏み台にして、犯罪予告を書き込みました。結果として、複数のユーザーが誤認逮捕されることとなり、警察の信用失墜が叫ばれる事態となりました。

DDFでは、上記で紹介した被害事例に似たような被害に遭った際に、調査を行うことができます。無料でご相談だけでも受け付けているので、不安に思う方はご相談だけでもお問い合わせください。

遠隔操作ウイルス(RAT)の攻撃手順

遠隔操作ウイルス(RAT)による攻撃手順の一例が下記の手順です。

遠隔操作ウイルス(RAT)の被害事例

遠隔操作ウイルス(RAT)を利用して実際に行われた攻撃の被害内容について紹介します。

2016年6月　JTBで最大793万人分の個人情報流出

旅行大手会社のJTBが2016年6月14日に、RATのKorplug(PlugX)を利用した標的型攻撃による被害を受けて、最大793万人分の個人情報が流出した可能性がありました。

流出した可能性のある個人情報は、氏名や住所、約4,300人分のパスポート情報など。

また、提携先企業の顧客個人情報も流出したとされています。

出典：日本経済新聞

2022年頃　ウクライナのインフラ施設や個人を狙った攻撃

2022年2月頃から、サイバー犯罪者による時事ネタを絡めた偽の電子メールを不特定多数の人に対して、大量送信していました。その中にRATが仕込まれており、被害額は5,500ドル(現在約80万円)を抜き取られた等の被害が報告されています。

2022年のロシアによるウクライナ侵攻時に、ロシアのサイバー攻撃集団がRAT(Dark Crystal RAT)を利用して電力会社や金融機関等のインフラ施設を狙った攻撃を行っている。

出典：CISCO/Blackberry

遠隔操作ウイルス(RAT)の対処方法

次に遠隔操作ウイルス(RAT)に感染していないか確認する方法を紹介します。

身に覚えのないアプリやファイルがないかチェック

まずは、自身でインストールした覚えのないアプリやソフトウェアを確認し、開けないファイルなどがあるかも確かめましょう。

端末の動作に異常がないか確認

「パソコンやスマホの動作が重いように感じる」「勝手に動いていて自身ではコントロールできない」。このような場合、端末が遠隔操作ウイルス(RAT)に感染している可能性があります。また、端末が使用していないのに熱を帯びていたり、充電の減りが異常に早い時も同様の疑いが想定されます。

タスクマネージャーでCPU値をチェックする

Windowsの場合、タスクマネージャーを用いて、CPUの値が異常に高くなっているか確認できます。もし値が異常な場合、端末内で遠隔操作されている恐れがあります。

1. 「タスクマネージャー」をクリック
2. 左下の「詳細」をクリック
3. 「プロセスタブ」から「CPU」の列をチェック
4. 「パフォーマンスタブ」から下あたりの「リソースモニター」をクリック

パソコンの初期化を行う

最終手段として端末の初期化を行いましょう。初期化すると端末内の遠隔操作ウイルス(RAT)は跡形もなく消えます。しかしながら、ローカルフォルダに保存されたデータなども同時にすべて消えてしまいます。そのため、初期化の際は、USBメモリや外付けハードディスクなどにバックアップを取っておく必要があります¹。

また、初期化すると、ウイルス感染の痕跡が消失し、「どの情報が抜き取られたか」などの被害全容を専門業者でも掴みにくくなる恐れがあります。

そもそも遠隔操作ウイルス(RAT)に感染した段階で、何らかの情報が漏えいしている可能性が非常に高く、もし漏えいした情報に、顧客などの個人情報が含まれている場合、本人および個人情報保護委員会への通知も原則義務化されました。仮に、抜き取られた情報が決済情報だった場合は、不正使用という形で金銭的実害が生じる可能性も大いに考えられます。

専門業者に相談する

セキュリティソフトのスキャンでは、ウイルスの感染経路や実際の被害を特定することは困難です。また、初期化で対応すると、被害調査も困難となり、場合によっては不適切な対応になりかねません。もし適切な形で被害調査やウイルス駆除を行いたい方は、ウイルス感染調査の専門業者に相談しましょう。

ウイルス感染調査の専門業者では、「フォレンジック」という特殊技術を活用して「侵入経路」や「感染状況」などを正確かつ適切に調査することが可能です。

特に、社用端末として利用しているパソコンでウイルス感染が発覚した場合は、個人情報保護法の観点から、企業は情報流出などの有無を調査して被害実態を明らかにし、監督官庁など行政・法的機関に提出可能な報告書を作成する必要があります。

フォレンジック調査の専門業者では、高度な技術を持つ専門エンジニアが、端末内に残されたログから、ハッキングの経路や流出情報の有無を調査し、調査報告書を作成します。

フォレンジック調査会社の相談方法

ウイルス感染の疑いがある場合、ウイルス感染の経路や被害の程度を明らかにすることで、現在のセキュリティの脆弱性を発見でき、今後のリスクマネジメントに活かすことができます。また、早めの相談で、被害が拡大する前に対処を図ることも可能です。

弊社では解析調査や報告書作成に加え、お客様のセキュリティ強化に最適なサポートもご案内しています。まずは気軽にご相談ください。無料で相談・診断を承っております。
フォレンジック調査会社へ相談・依頼する際は以下のような流れで行います。なお、当社では作業内容のご提案とお見積りのご提示まで無料でご案内しております。

＼相談から最短30分でWeb打ち合わせを開催／

ハッキング調査はデジタルデータフォレンジックへ相談する

＼法人様・個人様問わず対応　24時間365日無料相談OK！／

ハッキング調査会社への相談方法

＼法人様・個人様問わず対応　24時間365日無料相談OK！／

ハッキング調査の料金・目安について

遠隔操作ウイルス(RAT)の被害に遭わないための対策方法

遠隔操作ウイルス(RAT)の被害に遭わないための対策方法を以下で解説します。

不審なメールの添付ファイルやリンクは開かない

不審な送信者や身に覚えのない添付ファイル付きのメールは、マルウェア感染の可能性があるため容易に開かないようにしましょう。

アプリやソフトウェアは信頼できる発信元からインストールする

アプリやソフトウェアをインストールする際は、信頼できるサービス・企業が提供しているもののみにしましょう。企業や組織であれば、信頼できないアプリやソフトウェア以外のものをインストールできないような設定にするとをおすすめしましす。

OSやアプリケーションを最新の状態に保つ

OSやアプリケーションの脆弱性というセキュリティ上の弱点を狙って攻撃者は攻撃をすることが一般的に知られています。

これらの脆弱性を少しでも減らすためにはOSやアプリケーションを最新状態にアップデートすることでセキュリティパッチを適用させることが必要です。そのため定期的にアップデートを行いましょう。

マルウェア対策ソフトを導入する

ウイルス対策ソフトを導入するなどのマルウェア対策は必要不可欠です。導入している場合は、マルウェアや不審なものを検知したら通信を遮断してくれるなどの利点があります。

その他の詳しいセキュリティ対策について記載されてる記事は以下です。

【2023最新】効果的な情報セキュリティ対策とは？専門家が徹底解説この記事では、代表的なセキュリティリスクを説明するとともに、それぞれのリスクに合わせた対策について解説します。個人情報や企業情報の漏洩は深刻な問題であり、セキュリティ対策はますます重要性を増しています。自社の体制に合わせた、適切な対策を実施しましょう。...