SECURITY Q&A

セキュリティ質問箱 | ビジネス現場の疑問について回答します

取引先がリモート攻撃を受けて、パソコンから機密情報が漏洩したと人づてに聞きました。どんな攻撃なのか、また特別な対策は必要なのか、教えてください。

この記事をシェア

取引先の話ですが、社員のパソコンがリモート攻撃を受けて機密情報が漏洩したと聞きました。「リモートから攻撃を受ける」というのは、よく見たり聞いたりしますが、具体的にはどのような攻撃なのでしょうか。また、どんな対策が必要でしょうか。同じ被害に遭わないために知っておきたいので教えてください。

 

A

パソコンに対する「リモート攻撃」とは、遠隔から実行される攻撃のことです。パソコンが直接、攻撃者によって「遠隔操作」されてしまう場合や、パソコンの脆弱性を突かれて情報を盗まれたり、マルウェアに感染させられてしまうこともあります。

パソコンに対するリモート攻撃とは、遠隔から実行される攻撃のことです。それには、いくつかの攻撃手法があります。

代表的な攻撃は、パソコンにトロイの木馬などの不正プログラムを感染させ、「パソコンを乗っ取る」方法です。不正プログラムに乗っ取られたパソコンは、利用者が気づかないうちにネットワーク経由で外部と通信し、遠隔から自由に操作される状態に陥ってしまいます。こういった被害をもたらすマルウェアは「バックドア」「リモートアクセスツール(RAT)」と呼ばれることもあります。

実際にパソコンが乗っ取られてしまった事例では、警察による誤認逮捕で話題となり、ニュースでも大きく報じられて社会的関心を集めた「PC遠隔操作事件」が記憶に新しいのではないでしょうか。この事件では、マルウェアに感染したパソコンからネット掲示板に犯罪予告が書き込まれました。しかし、これはあくまで被害の一例に過ぎません。パソコンが乗っ取られてしまうと、データの盗難や破壊など、あらゆる危険にさらされます。
これ以外にも、パソコンの脆弱性を突いて「リモートからコードを実行する」手法があります。この攻撃では、まず攻撃者が、不正に細工したファイルを準備します。ファイルには、不正な動作を命令する「コード(プログラム)」が含まれています。

そしてターゲットとなるパソコンにネットワークを経由で忍び込ませます。そのパソコンに脆弱性がない状態ならば、利用者がそのファイルを開いても、悪影響を及ぼす動作はしません。しかし、OSやアプリケーションに脆弱性が存在すると、仕込まれたコード(命令)が実行され、攻撃者が意図した動作をします。さらに高機能なマルウェアがダウンロードされてしまったり、パソコンに保存されている大切な情報が盗まれたりしてしまうのです。

リモートからコードを実行する攻撃の特徴は、遠隔操作のように攻撃者が外部からパソコンに接続し、操作する必要がないことです。メールの添付ファイルで不正ファイルを送り付けたり、あるWebサイトを閲覧したらコードが送り込まれるように仕組んでおけばよいのです。利用者が、OSやアプリケーションに脆弱性を残したまま、不正なコードが埋め込まれたファイルを開いてしまうと、気が付かないうちに攻撃が実行されてしまいます。

多数のパソコンが遠隔操作され、別の攻撃に悪用される例も

またこうした攻撃では、特定のパソコンが狙われるとは限りません。一度に大量のパソコンがリモート攻撃のターゲットとされ、乗っ取られてしまうこともあります。最初に攻撃者は、迷惑メールやWebサイトの改ざんなどにより脆弱性攻撃を仕掛け、大量のパソコンを遠隔操作できるようマルウェアに感染させます。まさに「リモートからコードを実行する」手法を利用し、マルウェア感染を広げるのです。

そして攻撃者は「コマンド&コントロール(C&C)サーバー」を用意し、そのサーバーを経由して一度に大量のパソコンを遠隔操作します。マルウェアに感染したパソコンは「ボット」や「ゾンビPC」と、感染したパソコン群は「ボットネット」と呼ばれ、迷惑メールの大量配信や特定サイトを攻撃するDDoS攻撃などの踏み台として利用されます。マルウェア感染の被害者が、加害者になってしまうのです。
このような攻撃の被害を未然に防ぐためには、確実に脆弱性を解消しておくことです。そしてウイルス対策ソフトを常に最新の状態に保ち、マルウェア感染のリスクを下げることが重要です。

また、侵入防止システム(IPS)により脆弱性攻撃から防御したり、マルウェアによる外部との通信を監視検出、遮断する高機能ファイアウォールを導入するなど、「出入り口対策」の対策も効果的です。エンドポイントはもちろん、ネットワークに至る多層的な総合対策を講じる必要があるといえるでしょう。

この記事をシェア

情報漏えいのセキュリティ対策に

マルウェア情報局の
最新情報をチェック!