バックドア(Back door)はITセキュリティ分野における攻撃手法の一つであり、攻撃者がターゲットとなるシステムへの継続したアクセスを維持するために用いられます。正面からの正式なルートを用いたアクセスではないことから、バックドア(裏口)と表現されます。
この記事では、バックドアのリスクや対策の課題について解説しています。
- Morphisecの資料請求はこちら
バックドアの対策を検討されている方へ
目次
バックドアとは
バックドア(Back door)は、ITセキュリティ分野における攻撃手法の一つであり、攻撃者がターゲットとなるシステムへの継続したアクセスを維持するために用いられます。正面からの正規ルートを用いたアクセスではないことから、バックドア(裏口)と表現されます。
参考までにMITRE社が現時点で定義しているサイバー攻撃のフェーズには、Reconnaissance(偵察)、Initial Access(初回の侵入経路の確保)など14の区分があり、その中でバックドアの生成はPersistent(永続化)に分類されます。
これはInitial Accessのあとに位置するフェーズであり、攻撃者がなんらかの方法でターゲットを攻撃し、攻撃が成功した時点でその後も継続したアクセス(攻撃)が簡単に行えるようにバックドアを作成します。
バックドア型のマルウェア
バックドアは攻撃者の侵入経路のために設置されます。バックドアを設置することで攻撃者は、ポートの開放やログイン用のアカウント作成を行い、リモートで端末にログインしやすくなるように準備します。
この侵入方法以外に、マルウェアが永続的にC&Cサーバ(攻撃者がマルウェアに指令を出したり、盗み出したデータを保存するためのサーバ)から指示を受け取るために端末のスタートアップに自身を登録しておくことも、広義的にはバックドアと呼ばれます。
したがってC&Cサーバから指示を受け取るタイプのマルウェアのほとんどは、永続性のために登録したスタートアップというバックドアを用意しています。
スタートアップの登録がなければ、端末シャットダウン時に永続性が失われてしまい、継続したアクセス(攻撃)が行えなくなるからです。
永続性の確保という意味では、バックドア型のマルウェアは少ないです。ランサムウェアなど破壊型と呼ばれるものは一回実行されれば目的が達成できるため、永続性(バックドア)は必要ありません。
対して、EmotetはC&Cサーバから新たな攻撃モジュールを受け取るために継続した接続が必要となり、バックドアがあったと言えます。
攻撃者がターゲットの端末にリモートでログインし、操作を行っていく攻撃ツール(マルウェア)をRAT(Remote Access Tool)と言います。
RATは攻撃者がリモートからログインできるように端末に進入用のユーザを新たに作成することがありますが、これもバックドアと言えます。
- Morphisecの資料請求はこちら
バックドアの対策を検討されている方へ
バックドアが生まれた理由
バックドアという手法が誕生した背景には、攻撃者側の「一度の侵入では目的を達成できない」という背景があります。多くのサイバー攻撃は複数の段階を経て実行されるものであり、最初の侵入後すぐに重要情報へ到達できるとは限りません。
むしろ、攻撃者は時間をかけて内部ネットワークを探索し、機密情報にたどり着く必要があります。そのためには、ターゲット環境に長期間、安定的にアクセスし続ける手段=バックドアが必要とされたのです。
また、防御側のセキュリティ対策が高度化したことも、バックドアの誕生と発展を後押ししました。ウイルス対策ソフトやファイアウォールの導入により、一度排除されたマルウェアが再侵入するのは困難になっています。こうした状況では、攻撃の初回成功時に「後戻りできる道(裏口)」を作っておくことが極めて重要になります。
さらに、標的型攻撃の増加もバックドアの存在価値を高めました。特定の企業や組織に狙いを定めた攻撃では、情報収集や社内移動などに時間がかかるため、短期間での達成は非現実的です。これにより、バックドアを通じた持続的攻撃(APT:Advanced Persistent Threat)が一般化しました。
このように、バックドアは「一度限りの攻撃」ではなく、「時間をかけて目的を達成するための手段」として、サイバー攻撃の実用性と成功率を高めるために生まれ、進化してきたのです。
バックドアと他のマルウェアの違い
マルウェアには様々な種類があり、それぞれに異なる目的と手法が存在します。たとえば、ランサムウェアはデータを暗号化して金銭を要求し、スパイウェアはユーザーの行動や情報を密かに収集します。
一方、バックドア型のマルウェアは、攻撃者が後から継続的にターゲットシステムへアクセスするための「入口」を確保することが主な目的です。
他の多くのマルウェアが「単発的な実行」で目的を果たすのに対し、バックドアは「永続的なアクセスの維持」に重点を置いている点が大きな違いです。たとえば、ランサムウェアは一度の実行でシステムを人質に取るのに対し、バックドアは攻撃者が何度も侵入・操作できるように、システムの深部に長期間潜伏します。
また、バックドアは他のマルウェアと組み合わさることが多く、攻撃全体の一部として機能することがあります。たとえば、情報を盗むためのスパイウェアや、横展開するワームの活動を補助するために、バックドアが設置されることもあります。
バックドアの特徴
バックドアには以下のような特徴があります。
永続性の確保:端末の再起動やネットワークの切断後も機能し続けるよう、レジストリの変更やスタートアップ登録などで自動起動を仕込みます。
ステルス性:システムの監視やアンチウイルスからの検出を避けるため、ファイル名を偽装したり、通常のプロセスに偽装して動作するなどの工夫がされています。
C&C通信:バックドアはしばしばC&C(Command and Control)サーバと通信し、外部からの指令を受け取って動作を変化させる柔軟性を持ちます。
アクセス制御の回避:本来不要なポートの開放や、権限昇格によって管理者権限を獲得し、より自由度の高い操作を可能にします。
多機能性:バックドアは単なる侵入口ではなく、システム情報の取得、キーロガー、ファイルの操作・転送など、多くの機能を備えていることもあります。
バックドアを設置(感染)される攻撃手口とは?
製品開発時に組み込む
ターゲットに対して外部から攻撃を仕掛けることは、複数の防御をかいくぐる必要があるため攻撃者にとってハードルになります。侵入のハードルが高いターゲットほど、攻撃者はターゲットと関わりのある関係企業(サプライチェーン)を探ろうとします。
ターゲットが利用するサプライチェーンに乗せて、あらかじめマルウェアを混入した製品を送り込み、内部から攻撃を発症させることをサプライチェーン攻撃と言います。内部から入り口(バックドア)を開けることで攻撃者が侵入しやすくなります。
最近ではOSS(オープンソースソフトウェア)やブラウザにアドオンして動く拡張機能など一般公開されたモジュールを、利用者が自由に使うことのできる利用体系が整っているものが多くあります。
公開されたモジュールを再利用するのは非常に便利ではありますが、中にはマルウェアが混入しているものがあり、しばしば問題として取り上げられます。
メール添付ファイル
多くの場合バックドアを作成するにはマルウェアが必要になりますが、ターゲットにマルウェアを送込むためにはメールを用いる手法が一般的です。
攻撃者が送込むメールには、直接実行ファイルであるマルウェアが添付されることは考えにくく、URLが記載されていたりマクロ付きのオフィスファイルが添付されていることが多いでしょう。
URLの場合、ブラウザ経由で接続先からマルウェアがダウンロードされます。添付のオフィスファイルの場合は、マクロを有効にすることで同じようにマルウェアがダウンロードされます。
ダウンロードされたマルウェアが起動すると、永続的な稼働を確保するためにバックドアが作成されます。
アプリケーションの脆弱性を利用
アプリケーションに内在する脆弱性を悪用することによってもバックドアが作成される可能性があります。脆弱性のあるブラウザで攻撃者のWEBサーバにアクセスすると、脆弱性を悪用されて任意のコードが実行され、攻撃者がターゲットへ侵入可能となるバックドアが作成されたりします。
攻撃の糸口としては攻撃メールを送りつけることが一般的ですが、できるだけ痕跡となるファイルを残さないために中にはこのような形で脆弱性を悪用するものもあります。
バックドアを設置(感染)されるとどうなるのか?危険性を解説
バックドアが設置されると、そこを入り口にして様々な攻撃が発生する可能性があります。
遠隔で操作される
バックドアが設置された端末は攻撃者がリモートで操作を行える状況にあります。遠隔操作を受けるとDDoS攻撃など外部に攻撃を仕掛けるための踏み台として利用されたりします。
データが破壊される
バックドアが作成された端末が攻撃者と繋がっていることから、ランサムウェアなどデータを暗号化または破壊することを目的とするマルウェアが送り込まれる可能性があります。
情報が流出する
バックドアを通して侵入した攻撃者が情報を探索し、他の端末への横展開を狙うなどして機密情報を盗もうとするかもしれません。またキーロガーなどのマルウェアを利用することでも情報の収集は可能になります。
- Morphisecの資料請求はこちら
バックドアの対策を検討されている方へ
バックドア対策でよくある相談は?
エンドポイントにバックドアが作成されることの対策としては、エンドポイントセキュリティの導入が一般的に考えられます。端末へのセキュリティ製品導入に関して、課題となる点を記載します。
セキュリティソフトを導入した端末の動作が重くなった
セキュリティソフトの中には、悪意あるプログラムを見つけるために、端末内のファイルをスキャンしたり、見つけたファイルの解析を行ったり、稼働中のアプリケーションの動作を監視したりします。
こうした手法を用いるとCPUなど端末のリソースを利用してしまい、結果として端末の動作が重くなる傾向があります。また、誤検知が頻繁に発生することも利用者にとって業務上の負荷になる可能性があります。
アップデートが頻繁
マルウェアのデータベースであるシグネチャや解析エンジンを持つ多くのセキュリティソフトには定期的な更新が必要です。シグネチャや解析エンジンを新しいものに更新しなければ、新しいマルウェアに対応できなくなるからです。
マルウェアは日々生成されますので、それに追随する形でアップデートが必要となり、ネットワークトラフィックを発生させることにもなります。
ゼロデイ対策が不十分
前述したようにセキュリティ製品の多くは保護機能を維持または向上するために、アップデートが必要となります。昨今大きな脅威となっているゼロデイ攻撃をこうしたセキュリティ製品で防ぐことは難しくなっています。
セキュリティを強固にするほど端末負荷や運用負荷が大きくなる傾向にあり、このトレードオフを解消しつつ、どのように未知の攻撃を防ぐかという点が課題となります。
バックドア対策はMorphisec
サイバー攻撃によるインシデントの多くは、未知の手法によるマルウェアやシステムの脆弱性を悪用したものです。攻撃者はこれらの手法を使ってバックドア(裏口)を設置し、組織のネットワークに不正に侵入し続けます。
このようなバックドアを防ぐには、既知の攻撃だけでなく、まだ発見されていない未知の攻撃にも対応できるセキュリティ製品が必要です。
Morphisecの特長
Morphisecは、特許取得済みの「メモリランダマイゼーション」技術を採用しています。これは、プログラムが動作するメモリ空間の構造をランダムに変化させることで、攻撃者が標的を特定できなくする先進的な防御手法です。
未知の攻撃にも強い
Morphisecは、従来のウイルス対策ソフトでは検知が難しい未知のマルウェアやゼロデイ攻撃も、メモリ空間の保護によって未然に防ぎます。
オフライン環境や、ネットワークにつながっていない端末でも高い防御力を発揮します。
誤検知が少ない
AIやシグネチャに頼らないため、正規の業務アプリケーションを誤ってブロックすることがほとんどありません。
セキュリティ担当者の運用負荷や、ユーザーの業務妨害リスクを大幅に低減できます。
端末への負荷が軽い
メモリの構造を変えるだけのシンプルな仕組みなので、端末のパフォーマンスをほとんど損ないません。
大規模な環境や、スペックが限られる端末にも安心して導入できます。
まとめ
バックドア対策には、未知の攻撃にも対応できる新しいアプローチが不可欠です。
Morphisecなら、特許技術によるメモリ防御で、日々進化するサイバー攻撃からシステムをしっかり守り、運用負荷や誤検知の心配も最小限に抑えられます。
- Morphisecの資料請求はこちら
メモリのランダマイズにより攻撃を無効化する
関連記事の一覧
サプライチェーン攻撃は中小企業を狙う
サプライチェーン攻撃は、大企業と取引をしているセキュリティ対策が大企業ほど強固でない中小企業を、大企業への入口として狙います。また、IT機器やソフトウェアの開発、製造...
ランサムウェアのエコシステムを解説
ランサムウェアのエコシステムが確立し、攻撃することを専門とするRaaS(Ransomware as a Service)業者が複数存在しています。誰でもお金さえ出せばランサムウェアによる攻撃活...
サプライチェーン攻撃とは?対策や事例、攻撃の手口を解説
サプライチェーン攻撃とは、セキュリティ対策が手薄な関連企業や取引先企業を経由して、標的とする企業へ不正アクセスを試みるサイバー攻撃の総称です。自社だけでなく関連企業への...
振る舞い検知やパターンマッチングでは防げない?ゼロデイ攻撃の脅威
ゼロデイ攻撃とは、ソフトウェアで不具合になっている部分(セキュリティホール)に対して修正パッチが公開される前に、その不具合を狙って行われるサイバー攻撃の総称です。
