はじめに:巧妙化するランサムウェア攻撃とリモートアクセスツールの悪用
現代のランサムウェア攻撃は、単なる機会的な攻撃から、正規のリモートアクセスツール(RATs)を悪用した高度な多段階キャンペーンへと進化しています。これらのツールは、攻撃者がシステム内で潜伏し、永続性を維持しながら、組織の防御を体系的に無力化するために利用されます。
ランサムウェアは、重要なデータを暗号化し、復元のために身代金を要求する、最も破壊的なサイバー脅威の一つです。初期のキャンペーンが大量のフィッシングやマルウェア配布に依存していたのに対し、現代のランサムウェア攻撃は高度に洗練され、標的型となっています。攻撃者は、AnyDesk、UltraViewer、RustDesk、Splashtopといった信頼された管理ソフトウェアを悪用し、バックドアを確立し、権限を昇格させ、企業ネットワーク全体に壊滅的なペイロードを展開します。
本記事で議論されるリモートアクセスツールは、IT管理とリモートサポートのために設計された正規のソフトウェア製品です。この内容は、これらのツールが設定ミス、不適切な管理、または監視不足の場合に、ランサムウェアキャンペーンでどのように悪用される可能性があるかを強調するものであり、ツール自体が本質的に脆弱または悪意のあるものであることを示唆するものではありません。
リモートアクセスツールが悪用される理由
AnyDesk、UltraViewer、AppAnywhere、RustDesk、CloneDesk、Splashtop、TightVNCなどの正規のリモートアクセスツールが悪用される主な理由は以下の通りです。
- 無人アクセス:ユーザーの操作なしで接続可能。
- ファイル転送:バイナリの移動やデータの持ち出しが可能。
- インタラクティブなデスクトップ制御:管理タスクをリモートで実行可能。
- 暗号化された通信:ネットワーク監視を回避。
これらのツールは、展開が容易で、広く信頼されており、企業環境で頻繁にホワイトリストに登録されているため、攻撃者にとって魅力的な標的となります。組織がリモートアクセスツールをホワイトリストに登録し、そのデジタル署名を信頼していることを攻撃者は悪用し、セキュリティ制御を迂回してステルスに永続性を維持します。
ランサムウェア攻撃のキルチェーンとリモートアクセスツールの役割
ランサムウェアのキルチェーンは、初期アクセスから最終的な影響まで、攻撃の各段階を概説します。攻撃者が正規のリモートアクセスツールを悪用すると、ステルス性、永続性、および制御を獲得し、検出と軽減がより困難になります。
初期アクセス:認証情報の侵害
攻撃者は、盗まれた認証情報やブルートフォース攻撃を用いて正規のアクセスを獲得し、信頼されたユーザーとして振る舞いながら防御を迂回します。管理者アカウントを標的とすることで、リモートアクセスツールの展開やラテラルムーブメントなどの後の段階で最大限の制御が可能になります。
- 一般的な攻撃経路:RDP/SMBエンドポイントに対するブルートフォース攻撃、過去の漏洩や侵害からの認証情報の再利用、管理者アカウントの標的化。
- 検出指標:WindowsイベントID 4625 → 4624(複数の失敗したログインの直後に成功)、異常な時間帯のRDPログオンタイプ10、予期せぬ地理的位置からのログイン。
リモートアクセスツールの悪用:ハイジャックとサイレントインストール
アクセスを獲得した後、攻撃者はステルスな永続性のためにリモートアクセスツールの展開に焦点を当てます。検出を回避するために既存のRATをハイジャックするか、最小限のフットプリントで署名付きインストーラーを使用してサイレントインストールを実行します。
- 既存のRATのハイジャック:WMI、レジストリ、またはPowerShellを介してインストール済みのRATを列挙し、攻撃者の認証情報を追加またはアクセス設定を変更します。新しいファイルやプロセスを作成しないため、検出リスクが低減されます。
- RATのサイレントインストール:
/S、/VERYSILENT、/quiet、/NORESTARTなどのサイレントインストールフラグを使用して、ユーザーの操作なしに軽量で署名付きのインストーラーを展開します。
永続化と権限昇格
攻撃者は、レジストリのRunキー、隠されたスケジュールされたタスク、および設定ファイルの変更を利用して永続性を維持します。PowerRunやTrustedInstallerなどのツールを使用して権限昇格を達成し、RATをSYSTEM権限で実行してユーザーレベルの制限を回避します。
- メカニズム:レジストリRunキー(HKCU\Software\Microsoft\Windows\CurrentVersion\Run)、スケジュールされたタスク(RATを自動再起動する隠されたタスク)、設定ファイル(RustDeskのconfig.tomlを変更して無人アクセスを可能にする)。
- 権限昇格:PowerRunまたはTrustedInstallerを使用してRATをSYSTEMとして起動。
アンチウイルス無効化とフォレンジック対策
リモートアクセスツールを使用して、攻撃者はインタラクティブにアンチウイルスサービスを停止させ、グループポリシーを操作し、RATのディレクトリを除外リストに追加します。重要なログはクリアされ、ファイルシュレッディングツールが使用されてフォレンジック証拠が削除されるため、インシデント後の調査が困難になります。
- テクニック:アンチウイルスサービスの停止(
sc stop <service>またはnet stop <service>)、ポリシー操作(RATディレクトリを除外に追加)、ログクリア(wevtutil cl Security、wevtutil cl System、wevtutil cl Application)、ファイルシュレッディング。
ペイロードの展開と実行
攻撃者は、アンチウイルスサービスを停止し、セキュリティポリシーを変更し、回復メカニズムを無効にし、イベントログをクリアし、機密ファイルをシュレッドして、検出を回避し、フォレンジック調査を妨害します。また、バックアップソリューションを改ざんし、シャドウコピーを無効にし、rundll32やPowerShellのようなLiving-off-the-Land Binaries(LOLBins)を使用して、悪意のある行動を正規のプロセスに紛れ込ませることもあります。
ランサムウェアは、多くの場合、信頼された更新プログラムや管理アクションとして偽装され、既存のリモートセッション内で実行されることで、ユーザーの疑念やセキュリティ監視を回避して、リモートアクセスツールチャネルを通じて配信されます。
実際の攻撃事例とMITRE ATT&CKフレームワーク
以下は、永続性、展開、およびラテラルムーブメントのために、ランサムウェアキャンペーンで攻撃者によって悪用される一般的なリモートアクセスツールです。
- AnyDesk:TargetCompany, D3adCrypt, Makop, Mallox, Phobos, LockBit 2.0, LockBit 3.0, LockBit 2025 Renegade, Beast, Dharma, Proton/Shinra, MedusaLocker
- UltraViewer:Beast, CERBER, Dharma (.cezar Family), GlobeImposter 2.0, LockBit 3.0, Makop, Phobos, SpiderPrey, TargetCompany
- AppAnywhere:Makop, Ryuk, D3adCrypt, Dharma
- RustDesk:Mimic, LockXXX, Dyamond, D3adCrypt, Makop
- Splashtop:Makop, BlueSky, RansomHub, Proxima
- TightVNC:Cerber 4.0/5.0
攻撃者が使用する戦術、技術、手順(TTPs)を理解することは、リモートアクセスツール駆動型ランサムウェアキャンペーンに対する防御において極めて重要です。これらの活動をMITRE ATT&CKフレームワークにマッピングすることで、攻撃者がどのようにアクセスを獲得し、ツールを展開し、永続性を維持し、権限を昇格させ、最終的に影響力のあるペイロードを配信するかを視覚化できます。
- 初期アクセス:ブルートフォース (T1110.001) – RDP/SMBエンドポイントを標的とした初期アクセス。
- ツール展開:イングレスツール転送 (T1105) – 実行のためにリモートアクセスユーティリティを転送。
- 実行:リモートサービス (T1021.001) – ペイロード実行にリモートセッションを使用。
- 永続化:レジストリRunキー (T1547.001) – ツールの永続性のためにレジストリキーを作成/変更。
- 権限昇格:昇格制御メカニズムの悪用 (T1548.002) – SYSTEM権限でツールを実行するための権限昇格。
- 防御回避:防御の無効化 (T1562.001) – セキュリティサービスを無効化、ログをクリア。
- ラテラルムーブメント:リモートサービス (T1021.001) – エンドポイント間で移動するためにリモートサービスを悪用。
- 影響:影響のためのデータ暗号化 (T1486) – ランサムウェアを展開し、データを暗号化するためにツールを悪用。
新たな脅威と将来の動向
ランサムウェアオペレーターが進化するにつれて、従来のオンプレミスでの悪用を超えた新たな戦術が出現しています。これらの傾向は、攻撃者が自動化、クラウド悪用、およびRaaSエコシステムを組み合わせて、運用の規模とステルス性を最大化していることを示しています。
- AI駆動型RAT展開:ペイロードの自動意思決定。
- クラウドRAT悪用:クラウドベースのリモートアクセスポータルを悪用。
- RaaS統合:企業キャンペーン向けにランサムウェア・アズ・ア・サービス(RaaS)の提供にRATを組み込み。
- 多段階攻撃:初期のRAT侵害に続き、二次ペイロード(データ持ち出し、クリプトジャッキング、ラテラルランサムウェア)を展開。
包括的な防御戦略
ランサムウェア攻撃者は信頼されたツールを武器化しようとするかもしれませんが、包括的なセキュリティソリューションは、多層防御によって彼らを阻止するように構築されています。リアルタイム監視、自己保護、および高度な行動検出を組み合わせることで、最新のセキュリティプラットフォームは、攻撃者がセキュリティを容易に無効にしたり、気づかれずにすり抜けたりすることを確実に防ぎます。
- ウイルス対策:トロイの木馬化されたインストーラーや隠されたペイロードが実行される前に積極的に検出・無力化。
- アンチウイルス自己保護:攻撃者がセキュリティサービスを強制的に終了またはアンインストールするのを防止。
- 行動ベースの検出:大量のファイル変更や疑わしいプロセス起動など、ランサムウェアに関連する異常な活動を監視。
- ランサムウェア保護:不正な暗号化の試みをリアルタイムでブロックし、データがロックされる前に攻撃を遮断。
- アプリケーション制御:不正なリモートツールの使用を制限し、信頼されたアプリケーションのみが実行されるようにする。
正規のITツールは、管理を誤ると隠れた攻撃ベクトルになりやすく、リモートアクセスツールの悪用は、次世代ランサムウェアの重要なイネーブラーとなっています。このリスクに対抗するためには、企業はガバナンス、監視、迅速な対応を組み合わせた多層的なアプローチが必要です。最新のセキュリティソリューションは、強力なウイルス対策、行動検出、およびランサムウェア対策を提供することで、この防御戦略の中心的な役割を果たします。厳格なガバナンスとインシデント対応と組み合わせることで、組織は攻撃者の一歩先を行き、ますます巧妙化するランサムウェアキャンペーンから重要な資産を保護することができます。