RAT(Remote Access Trojan: 遠隔操作ウイルス)とは?IT用語・情報セキュリティ用語として解説

RAT(Remote Access Trojan: 遠隔操作ウイルス)とは?IT用語・情報セキュリティ用語として解説

遠隔操作攻撃やRAT攻撃という言葉が一般化してきましたので、この記事ではRATとは何か?や
事例、対策などを解説していきます。

RAT(Remote Access Trojan)とは?

RAT(Remote Access Trojan)は、利用者に被害を出す悪意を持つソフトウェアであるマルウェアの1種で、メールやフィッシングサイト、USB経由ユーザーの知らない間にPCに侵入し、攻撃者が遠隔からコントロールすることができるマルウェアの一種です。

遠隔からコントロールする事が目的なので、感染しても派手な動きをしない為気づきにくいのが特徴になります。

RATの感染経路

  • ビジネスメールに偽装したフィッシングメールの添付ファイル
  • フィッシングサイト
  • USB

などです。

特に大量に送信できるメールは攻撃者のコストパフォーマンスがよいので、
現在でもRAT攻撃の主要な感染経路となっています。

RATのファイル形式

RATはビジネスで利用されるファイルに偽装されてメールに添付される場合が多く

1例として以下のファイル形式になります

・エクセルに偽装した.exeファイル 

・不正なマクロを混入させたエクセルファイル

・不正なJSコードを混入させたSVGファイル

RATに感染するとどうなる?

RATに感染すると以下のような被害が発生します。

・キーロガーという機能を用いて感染した端末のキーボード情報を盗み取られる

・感染端末を遠隔から操作したり、カメラから不正に情報を録画したり盗聴する

・標的型攻撃メール配信のための踏み台にされる。

RAT攻撃の事例

主な事例は以下です。

ウクライナのインフラ施設を狙った攻撃

Dark Crystal RAT

ロシアのサイバー攻撃集団が利用するRATで2018年に観測され2022年のロシアのウクライナ侵攻の際にも、ウクライナの電力や金融インフラや化学企業を標的とした攻撃に利用されました。

引用:https://www.blackberry.com/us/en/solutions/endpoint-security/ransomware-protection/dcrat

JTB

Korplug(PlugX)

ジェイティービー(JTB)は2016年6月14日、旅行商品をインターネット販売する子会社が標的型攻撃に遭い、最大で約793万人分の個人情報が流出した可能性があると公表した。

その後添付ファイルにはウイルス対策ソフトで検知できない未知のマルウエアが含まれていて、PCの遠隔操作を許すタイプだった。JTBの金子和彦グループ本社取締役経営企画部長(経営企画・IT企画・事業開発担当)はマルウエアを「ELIRKSとPlugXの亜種だった」と明かした。

引用:https://news.mynavi.jp/techplus/article/techp2522/

三菱重工

MFC Hunter

2011年に三菱重工は外部から内部環境へ侵入され、情報漏えいの可能性があるとして

警察当局へ相談していた事を発表した。

MFC HunterはPDFをメールへ添付し送付し、dobe ReaderやFlashの脆弱性を使用して侵入。C&C(コマンド&コントロール)サーバにアクセスし、その情報を送信し、その後

ネットワーク情報やファイルの情報、ディレクトリ名を攻撃者へ報告し、リモートアクセス型のRAYをダウンロードさせ、追加のコマンドを実行し情報を窃取しました。

引用:https://www.sbbit.jp/article/cont1/23873

RAT対策

怪しいメールを開かせないというリテラシーの向上と各端末へのウイルス対策ソフトやEDRの導入
ネットワークで防御するために各種UTMの導入が必要になります。

RATは感染後に、指示を出すC&CサーバCommand & Controlサーバ)から遠隔操作されます。 その為既知のC&Cサーバーと通信を検知するには各種UTMはある程度効果を発揮します。

RATは古典的な攻撃手法ですが、大量にバラまいて1端末でも感染させれば大きな効果を発揮するので、注意する必要があります。

TOPへ