バックドアとは？事例や概要を解説

現代の情報セキュリティにおいて、深刻なリスクをもたらすものの一つが「バックドア（Backdoor）」と呼ばれる攻撃手法です。バックドアは、一見正常に動作している思われるシステムの裏側（バックドア）に設けられた不正アクセスの入り口であり、攻撃者に対して長期的かつ密かに侵入経路を与えます。

バックドアは、単なる一時的なサイバー攻撃攻撃ではありません。組織の重要な情報資産や機密情報に継続的に、しかも気づかれずにアクセスされる可能性があり、情報セキュリティ担当者にとっては特に注意すべき脅威です。本記事では、バックドアの定義からその仕組み、種類、実際に発生した国内外の攻撃事例、そして具体的な対策までを網羅的に解説し、組織が取るべき行動を提示します。

バックドアとは？

バックドアとは、通常の認証手順やアクセス制御を回避し、密かに外部からシステムに侵入できるように仕組まれた秘密の経路を指します。

開発者が保守やトラブルシューティングのために設けることもありますが、この機能が意図的に悪用されたり、マルウェアにより新たに埋め込まれたりすることで、セキュリティ上の重大な脅威となります。

バックドアは、システムに侵入されたことにすら気づかないまま、長期的に機密情報が漏えいしたり、サイバー犯罪の踏み台として悪用されたりするリスクがあります。加えて、バックドアは攻撃者が侵入時に密かに設置していることも多く、表面上はすでに攻撃や攻撃者が排除されているにもかかわらず、密かに再侵入する経路として活用されるケースも見受けられます。

バックドアの詳細

バックドアの仕組みは多岐にわたります。典型的なものは、正規のシステムに見せかけた悪意あるコードが内部に潜伏し、外部からの特定のトリガー（例：特定のIPアドレスからの接続や特定のコマンド）によって作動する構造となっています。

一部のバックドアは、OSレベルで深く組み込まれており、再起動後も持続的に機能するよう設計されています。また、近年ではAIや暗号技術を利用して通信を難読化し、ネットワーク監視での検出を回避する手法も増加しています。

OSSのソフトウェアに潜むバックドア

2024年3月9日にxzにバックドアが埋め込まれている脆弱性(CVE-2024-3094)が公開されました。
本脆弱性やRed HatとDebianなどの主要なLinuxディストリビューターのベータ版リリースに内包されている可能性を発表していますが、実稼働バージョンや安定バージョンでの利用はまだ報告されていません。このバックドアは長年XZ Utilsのプロジェクトに関わっていた人物の1人である JiaT75 (Jia Tan) が関わっており、コミュニティから信頼を得て2年かけて実装されています。

多くのOSS製のソフトウェアは非営利で人物や団体が保守していますが、人気のライブラリやパッケージ、プログラミング言語は様々な場面で利用されているため
国家的な支援を受けたハッカーが長年の信頼を積み重ねて、バックドアを設置する事は十分可能です。

バックドアの種類

このようなバックドアは大きく分けて以下のように仕掛けられます。

• ソフトウェアバックドア：市販ソフトウェアやオープンソースコードの中に密かに埋め込まれたもので、利用者が気づかないまま情報が外部へ送信されます。
• ハードウェアバックドア：製造段階でチップや基板に組み込まれるタイプで、検出が極めて困難です。国家レベルのスパイ活動に利用されることもあります。
• リモートアクセス型：ネットワーク経由で外部の攻撃者がアクセスできる形式で、トロイの木馬型マルウェアに仕込まれることが多いです。
• 管理者アカウント型：正規の管理者権限を乗っ取る、あるいは新たに偽装した管理者アカウントを作成することで、通常のアクセス権限を偽装するタイプです。

バックドアを利用した国内外のサイバー攻撃攻撃の事例

SolarWinds

バックドアに関する攻撃事例は国内・海外問わず枚挙に暇がありませんが、特に注目を集めたのが「SolarWinds事件」です。2020年、アメリカのIT管理ソフトウェア企業SolarWinds社の製品に、国家支援型とされるハッカーグループによってバックドアが埋め込まれました。

感染は18,000以上の組織に拡大し、米国財務省や国防総省、Microsoftを含む複数の大企業が被害を受けました。ロシアのAPTグループによるものとみられており、ソフトウェアのアップデート機能を悪用してバックドアを設置し、長期にわたり内部ネットワークへの潜入と情報窃取を行っていたとされています。

この事件によって、サイバーセキュリティの重要性が再認識させられ、アメリカのサイバーセキュリティレベルを向上させるための大統領令発令のきっかけになりました。

ASUS Live Update

また、台湾の大手PCメーカーASUSが提供するファームウェア更新ツール「ASUS Live Update」に、ハッカーがバックドア「ShadowHammer」を仕込んだ事例も欧州を中心に全世界で50万台以上に影響を及ぼしました。

攻撃者はデジタル署名付きの正規ソフトに改ざんを施し、ターゲットPCにマルウェアをインストールさせました。攻撃対象はASUSユーザーの中でも特定のMACアドレスを持つ端末に限定されていたため、極めて精巧な標的型攻撃であると分析されています。

三菱電機

また、三菱電機に対する不正アクセスも記憶に新しい事例です。2019年、三菱電機は外部からの不正アクセスにより、個人情報や企業機密の一部が流出した可能性があると発表しました。この攻撃は、中国系とされるAPTグループ「Tick」による攻撃が疑われており、侵入手段としてバックドア型マルウェアが使用されました。攻撃者は社内の脆弱な端末を経由してネットワークに侵入し、C&C（コマンド＆コントロール）サーバーと通信するバックドアを設置し、ネットワーク内部を移動してファイルや図面データを収集して外部に送信したと見られています。

この手法により、検知を回避しつつ長期間にわたって情報窃取が行われました。防衛や鉄道、電力インフラに関する情報が含まれていたことから、国家安全保障への波及も懸念され、企業のバックドア対策の必要性が一層強調される結果となりました。

どのような対策をすべきか

バックドアに対抗するためには、多層的かつ継続的なセキュリティ対策が必要です。まず、全社的なソフトウェア資産管理を徹底し、導入済みソフトウェアの出所や整合性を検証することが重要です。特に外部から取得するライブラリやオープンソースコードについては、信頼できる配布元かどうかの確認が不可欠です。

次に、EDR（Endpoint Detection and Response）やNDR（Network Detection and Response）などの検知システムを活用し、平常時との動作の違いや通信パターンの異常を即座に把握できる体制を整えることが求められます。また、ゼロトラストモデルを導入し、すべてのアクセスに対して逐次検証を行う設計に移行することも、バックドア対策として極めて有効です。

さらに、開発部門と連携し、サプライチェーン全体におけるセキュリティ評価の実施、ならびにセキュア開発ライフサイクル（SDL）の構築が求められます。これにより、バックドアが初期段階から混入するリスクを低減することが可能となります。

そして、基本的なことですが、定期的な脆弱性スキャンとパッチ管理も欠かせません。攻撃者は既知の脆弱性を突いてバックドアを仕込むことが多いため、セキュリティアップデートの遅れが致命的な被害を招く要因になります。

まとめ

バックドアは、目に見えない脅威として企業の情報資産を静かに脅かす存在です。その性質上、検知が困難でありながら、ひとたび設置されれば長期間にわたって情報を盗み出される可能性があります。SolarWindsや三菱電機のような大企業でさえその被害を免れることはできず、全ての企業にとって対岸の火事ではありません。

情報セキュリティ担当者は、常に最新の脅威動向を把握し、システムやネットワークの動作に敏感である必要があります。バックドアへの対策は、技術的措置のみならず、組織的な体制整備や文化の構築にも関わる問題です。基本的なセキュリティ対策を実施することはもちろん大事ですが、予算や体制等を含め、全社的に取り組む問題として組織のマネ