バックドアとは？設置（感染）された時の危険性と対策

バックドアとは

バックドア（Back door）は、ITセキュリティ分野における攻撃手法の一つであり、攻撃者がターゲットとなるシステムへの継続したアクセスを維持するために用いられます。正面からの正規ルートを用いたアクセスではないことから、バックドア（裏口）と表現されます。

参考までにMITRE社が現時点で定義しているサイバー攻撃のフェーズには、Reconnaissance（偵察）、Initial Access（初回の侵入経路の確保）など14の区分があり、その中でバックドアの生成はPersistent（永続化）に分類されます。これはInitial Accessのあとに位置するフェーズであり、攻撃者がなんらかの方法でターゲットを攻撃し、攻撃が成功した時点でその後も継続したアクセス（攻撃）が簡単に行えるようにバックドアを作成します。

バックドア型のマルウェア

バックドアは攻撃者の侵入経路のために設置されます。バックドアを設置することで攻撃者は、ポートの開放やログイン用のアカウント作成を行い、リモートで端末にログインしやすくなるように準備します。この侵入方法以外に、マルウェアが永続的にC&Cサーバ（攻撃者がマルウェアに指令を出したり、盗み出したデータを保存するためのサーバ）から指示を受け取るために端末のスタートアップに自身を登録しておくことも、広義的にはバックドアと呼ばれます。したがってC&Cサーバから指示を受け取るタイプのマルウェアのほとんどは、永続性のために登録したスタートアップというバックドアを用意しています。スタートアップの登録がなければ、端末シャットダウン時に永続性が失われてしまい、継続したアクセス（攻撃）が行えなくなるからです。

永続性の確保という意味では、バックドア型のマルウェアは少ないです。ランサムウェアなど破壊型と呼ばれるものは一回実行されれば目的が達成できるため、永続性（バックドア）は必要ありません。対して、EmotetはC＆Cサーバから新たな攻撃モジュールを受け取るために継続した接続が必要となり、バックドアがあったと言えます。

攻撃者がターゲットの端末にリモートでログインし、操作を行っていく攻撃ツール（マルウェア）をRAT（Remote Access Tool）と言います。RATは攻撃者がリモートからログインできるように端末に進入用のユーザを新たに作成することがありますが、これもバックドアと言えます。

バックドアを設置（感染）される攻撃手口とは？

製品開発時に組み込む

ターゲットに対して外部から攻撃を仕掛けることは、複数の防御をかいくぐる必要があるため攻撃者にとってハードルになります。侵入のハードルが高いターゲットほど、攻撃者はターゲットと関わりのある関係企業（サプライチェーン）を探ろうとします。ターゲットが利用するサプライチェーンに乗せて、あらかじめマルウェアを混入した製品を送り込み、内部から攻撃を発症させることをサプライチェーン攻撃と言います。内部から入り口（バックドア）を開けることで攻撃者が侵入しやすくなります。

最近ではOSS（オープンソースソフトウェア）やブラウザにアドオンして動く拡張機能など一般公開されたモジュールを、利用者が自由に使うことのできる利用体系が整っているものが多くあります。公開されたモジュールを再利用するのは非常に便利ではありますが、中にはマルウェアが混入しているものがあり、しばしば問題として取り上げられます。

メール添付ファイル

多くの場合バックドアを作成するにはマルウェアが必要になりますが、ターゲットにマルウェアを送込むためにはメールを用いる手法が一般的です。攻撃者が送込むメールには、直接実行ファイルであるマルウェアが添付されることは考えにくく、URLが記載されていたりマクロ付きのオフィスファイルが添付されていることが多いでしょう。URLの場合、ブラウザ経由で接続先からマルウェアがダウンロードされます。添付のオフィスファイルの場合は、マクロを有効にすることで同じようにマルウェアがダウンロードされます。ダウンロードされたマルウェアが起動すると、永続的な稼働を確保するためにバックドアが作成されます。

アプリケーションの脆弱性を利用

アプリケーションに内在する脆弱性を悪用することによってもバックドアが作成される可能性があります。脆弱性のあるブラウザで攻撃者のWEBサーバにアクセスすると、脆弱性を悪用されて任意のコードが実行され、攻撃者がターゲットへ侵入可能となるバックドアが作成されたりします。攻撃の糸口としては攻撃メールを送りつけることが一般的ですが、できるだけ痕跡となるファイルを残さないために中にはこのような形で脆弱性を悪用するものもあります。

バックドアを設置（感染）されるとどうなるのか？危険性を解説

バックドアが設置されると、そこを入り口にして様々な攻撃が発生する可能性があります。

遠隔で操作される

バックドアが設置された端末は攻撃者がリモートで操作を行える状況にあります。遠隔操作を受けるとDDoS攻撃など外部に攻撃を仕掛けるための踏み台として利用されたりします。

データが破壊される

バックドアが作成された端末が攻撃者と繋がっていることから、ランサムウェアなどデータを暗号化または破壊することを目的とするマルウェアが送り込まれる可能性があります。

情報が流出する

バックドアを通して侵入した攻撃者が情報を探索し、他の端末への横展開を狙うなどして機密情報を盗もうとするかもしれません。またキーロガーなどのマルウェアを利用することでも情報の収集は可能になります。

バックドア対策でよくある相談は？

エンドポイントにバックドアが作成されることの対策としては、エンドポイントセキュリティの導入が一般的に考えられます。端末へのセキュリティ製品導入に関して、課題となる点を記載します。

セキュリティソフトを導入した端末の動作が重くなった

セキュリティソフトの中には、悪意あるプログラムを見つけるために、端末内のファイルをスキャンしたり、見つけたファイルの解析を行ったり、稼働中のアプリケーションの動作を監視したりします。こうした手法を用いるとCPUなど端末のリソースを利用してしまい、結果として端末の動作が重くなる傾向があります。また、誤検知が頻繁に発生することも利用者にとって業務上の負荷になる可能性があります。

アップデートが頻繁

マルウェアのデータベースであるシグネチャや解析エンジンを持つ多くのセキュリティソフトには定期的な更新が必要です。シグネチャや解析エンジンを新しいものに更新しなければ、新しいマルウェアに対応できなくなるからです。マルウェアは日々生成されますので、それに追随する形でアップデートが必要となり、ネットワークトラフィックを発生させることにもなります。

ゼロデイ対策が不十分

前述したようにセキュリティ製品の多くは保護機能を維持または向上するために、アップデートが必要となります。昨今大きな脅威となっているゼロデイ攻撃をこうしたセキュリティ製品で防ぐことは難しくなっています。セキュリティを強固にするほど端末負荷や運用負荷が大きくなる傾向にあり、このトレードオフを解消しつつ、どのように未知の攻撃を防ぐかという点が課題となります。

バックドア対策はMorphisec

発生しているインシデントの多くは未知の攻撃によるものであり、マルウェアや脆弱性が悪用されています。バックドアはこれらによって作成され、防ぐためには未知の攻撃にも対応可能なセキュリティ製品が必要です。

Morphisecは特許技術であるメモリのランダマイズという防御手法を用いており、長期のオフライン環境であっても未知の攻撃を防ぐことができます。また、Morphisecは誤検知が少なく低負荷であることから、前述のような端末負荷や運用負荷などの課題も解決できます。