お問い合わせ
普段使っているパソコンやスマホがいつもと異なった挙動を見せたとき、「ウイルスに感染した?」「遠隔操作されているのでは?」と心配になりませんか? 実際、2012年には第三者のパソコンを遠隔操作し、殺害予告や犯罪予告を行った事件も起こっています。
このような遠隔操作ウイルス(RAT)に感染した場合、どのように対応すればよいのでしょうか? この記事では、遠隔操作ウイルス(RAT)の手口や感染確認方法や対応方法を紹介します。
目次
遠隔操作ウイルス(RAT)とは?
遠隔操作ウイルス(RAT)は、動物のねずみ(RAT)のようにユーザーに気づかれないようPCの内部へ侵入し、活動することからRATと呼ばれます。
攻撃者は、RATを利用することで遠隔でユーザーの個人情報を盗み見たり、端末内のソフトを停止させたり、別の攻撃を仕掛けるための踏み台に使う等を行います。
遠隔操作ウイルス(RAT)とは別名「リモートアクセス型のトロイの木馬」
遠隔操作ウイルス(RAT)は、有益なソフトウェアやファイルなどに偽造して、ユーザーにインストールしてもらい、気づかれないうちにシステム内へ侵入することが一般的な手口です。
似たような特徴を持つ有名なマルウェアとして「トロイの木馬」というものがあります。そのため、遠隔操作ウイルス(RAT)は「リモートアクセス型トロイの木馬」とも呼ばれています。
トロイの木馬に関して詳しく解説している記事はこちらです。
遠隔操作ウイルス(RAT)の感染経路
遠隔操作ウイルス(RAT)は、侵入した端末に「バックドア」を開きます。バックドアは第三者が容易に不正侵入できる「裏口」としての役割を果たします。バッグドアが作られてしまうと、所有者が気付かないところで、情報を盗まれたり、不正な命令を行われてしまいます。
そもそも、遠隔操作ウイルス(RAT)はどのような手口で感染するのでしょうか? ここでは主な手口を紹介します。
メールやBBS経由でウイルスを感染させる
遠隔操作ウイルス(RAT)の多くでは「ボット」が使用されています。ボットは世界中の感染端末をネットワークにすることで「ボットネット」を形成し、スパムの大量送付や、DDoS攻撃などを効率的に行います。なお、感染端末では「動作が鈍くなる」などの症状が見受けられることがありますが、ほとんどの場合、感染したことに気づかないケースが大半です。
ボットは、取引先や公共機関になりすました、不正メールを経由して感染します。また、感染は実在企業に酷似した偽サイトでも起こります。
アプリの不正インストール
遠隔操作アプリは、紛失・盗難にあった端末を、パソコンでの操作によりロックしたり探し当てたりすることができる、とても便利なアプリです。しかし、第三者が不正にインストールした場合には、悪質なストーカーアプリと化してしまいます。遠隔操作アプリの中には、インストールされていることに気づきにくいものも存在するので注意が必要です。
アプリの不正アクセス
IDやパスワードが悪意ある者に知られてしまえば、遠隔操作アプリを不正に使用されてしまいます。IDやパスワードは特定されずらいセキュリティーが強固なものに設定し、他人に教えないようにしましょう。
遠隔操作アプリを悪用する
これはウイルスではなく、正規の遠隔操作アプリを使ったパソコンの乗っ取り方法です。近年は遠隔操作アプリをセキュリティアプリと誤認させてインストールさせる手口が増えています。もしオンライン状態だと、情報が筒抜けになったり、遠隔操作が行われたりします。
また遠隔操作されると、メールの窃取や、SNSへの無断投稿といった被害につながるだけでなく、閲覧履歴をはじめプライベートな情報まで攻撃者に知られてしまう恐れがあります。
USBなどの外部メディアの接続
外部メディア内部にRATを埋め込んでその状態のものをユーザーに配布することで感染させるという手口があります。むやみやたらに外部メディアを指す行為を控えましょう。
上記で紹介した感染経路になりえる行動をして違和感がある方や不安に思う方がいましたらぜひ、DDFへご相談ください
遠隔操作ウイルス(RAT)の攻撃手順
遠隔操作ウイルス(RAT)による攻撃手順の一例が下記の手順です。
- 攻撃者がRATをターゲットへ送る。
- ターゲットがRATを起動してしまいRATに感染する。
- ターゲット端末内にRATが侵入し、秘密裡に活動を行う。
- ターゲット端末を踏み台として、第三者へ攻撃を行う。
遠隔操作ウイルス(RAT)の被害事例
遠隔操作ウイルス(RAT)を利用して実際に行われた攻撃の被害内容について紹介します。
2016年6月 JTBで最大793万人分の個人情報流出
旅行大手会社のJTBが2016年6月14日に、RATのKorplug(PlugX)を利用した標的型攻撃による被害を受けて、最大793万人分の個人情報が流出した可能性がありました。
流出した可能性のある個人情報は、氏名や住所、約4,300人分のパスポート情報など。
また、提携先企業の顧客個人情報も流出したとされています。
出典:日本経済新聞
2022年頃 ウクライナのインフラ施設や個人を狙った攻撃
2022年2月頃から、サイバー犯罪者による時事ネタを絡めた偽の電子メールを不特定多数の人に対して、大量送信していました。その中にRATが仕込まれており、被害額は5,500ドル(現在約80万円)を抜き取られた等の被害が報告されています。
2022年のロシアによるウクライナ侵攻時に、ロシアのサイバー攻撃集団がRAT(Dark Crystal RAT)を利用して電力会社や金融機関等のインフラ施設を狙った攻撃を行っている。
出典:CISCO/Blackberry
フォレンジック調査会社の相談方法
ウイルス感染の疑いがある場合、ウイルス感染の経路や被害の程度を明らかにすることで、現在のセキュリティの脆弱性を発見でき、今後のリスクマネジメントに活かすことができます。また、早めの相談で、被害が拡大する前に対処を図ることも可能です。
弊社では解析調査や報告書作成に加え、お客様のセキュリティ強化に最適なサポートもご案内しています。まずは気軽にご相談ください。無料で相談・診断を承っております。
フォレンジック調査会社へ相談・依頼する際は以下のような流れで行います。なお、当社では作業内容のご提案とお見積りのご提示まで無料でご案内しております。
詳しく調べる際はハッキング・乗っ取り調査の専門家に相談する
ハッキング、不正アクセス、乗っ取り、情報漏えいのような問題が発生した場合、どのような経路で、どのような情報が漏えいしたのか、被害の全容を正確に把握する必要があります。しかし、自力で調査を行うと、調査対象範囲が適切でなかったり、意図しない証拠データの消失が発生しやすく、不完全な結果になる恐れがあります。
このような事態を防ぎ、適切な調査によって原因究明を行うためにも、ハッキング調査の専門家に相談することが重要です。
ハッキング調査では、インシデント対応のプロが初動対応から、専門設備でのネットワークや端末の調査・解析、調査報告書の提出によって問題の解決を徹底サポートします。
フォレンジックサービスの流れや料金については下記からご確認ください。
【初めての方へ】フォレンジックサービスについて詳しくご紹介
【サービスの流れ】どこまで無料? 調査にかかる期間は? サービスの流れをご紹介
【料金について】調査にかかる費用やお支払方法について
【会社概要】当社へのアクセス情報や機器のお預かりについて
デジタルデータフォレンジックでは、お電話またはメールでお問合せいただくと、状況のヒアリングと対応方法、お見積りを無料でご案内いたします。
法人様の場合、ご相談から最短30分で初動対応のWeb打合せも開催しております。官公庁・上場企業・捜査機関等まで幅広い調査対応経験を持つ専門の担当者が対応させていただきます。
まずは、お気軽にご相談ください。
調査の料金・目安について
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
機器を来社お持込み、またはご発送頂ければ、無料で正確な見積りのご提出が可能です。
まずはお気軽にお電話下さい。
よくある質問
対応内容・期間などにより変動いたします。
詳細なお見積もりについてはお気軽にお問い合わせください。
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
可能です。当社は特定の休業日はございません。緊急度の高い場合も迅速に対応できるように、365日年中無休で対応いたしますので、土日祝日でもご相談下さい。
もちろん可能です。お客様の重要なデータをお取り扱いするにあたり、当社では機密保持誓約書ををお渡しし、機器やデータの取り扱いについても徹底管理を行っております。また当社では、プライバシーの保護を最優先に考えており、情報セキュリティの国際規格(ISO24001)およびPマークも取得しています。法人様、個人様に関わらず、匿名での相談も受け付けておりますので、安心してご相談ください。
この記事を書いた人
デジタルデータフォレンジック
エンジニア
