裏口や勝手口を意味するバックドアは、ITや情報セキュリティの分野では「サイバー攻撃の入口」として認識されています。バックドアが仕込まれてしまえば、いつサイバー攻撃を受けてもおかしくない状態となり、その被害は予測できない規模になる恐れも。
本記事では、バックドアとセキュリティ対策について、被害事例も含めて解説します。
バックドアとはサイバー攻撃の機能
サイバー攻撃におけるバックドアは、攻撃者がシステムに侵入するための「裏口」として機能します。情報セキュリティの分野においては、攻撃目的で密かに設置される非正規の入口「プログラム・マルウェア」の呼び名として広く使われています。
攻撃者はバックドアを設置することで、企業や組織のサーバーやシステム内部に侵入できるのです。被害は機密情報の漏洩、システムの乗っ取りなど甚大で、企業活動に大きな影響を与えます。
マルウェアについては、以下の記事で詳しく解説しております。ぜひご参考にしてください。
▼マルウェアの被害を防ぐには? 対策方法と感染時の対処法を解説
▼マルウェア・ランサムウェアとは? 被害の重大性や対策を確認しておこう
バックドア設置の仕組み
ここではバックドア設置の仕組みについて解説します。
バックドア自体はそこにあるだけの存在
バックドアはプログラムの開発時に設置されるケースと、サイバー攻撃を意図する者が後から狙って設置するケースがあります。どちらのケースであっても、バックドアが設置されているだけで被害が起きるわけではありません。
被害が発生するのは、バックドア経由でサイバー攻撃を受けた場合です。具体的なサイバー攻撃が行われなければ、バックドアはそこにあるだけで、設置されていることにすら気付かないケースもあります。
バックドア経由でのサイバー攻撃がいつ行われるかは、攻撃者にしかわかりません。攻撃者の好きなタイミングでサイバー攻撃を実施するために、バックドアは設置されるのです。
バックドアは継続使用される
設置されたバックドアは、一度の攻撃だけで役目を終えるわけではありません。
バックドアは、システム内部と攻撃者のサーバーとの通信を行いますが、有効な対策がなされない限り一度侵入を許してしまうと、繰り返し攻撃の入口となります。最初の攻撃時にバックドアをさらに設置し、バックドア対策がなされるまで攻撃を繰り返すケースもあります。
バックドアを設置される手口
バックドア設置の手口は1つや2つではありません。
ここでは、最初から攻撃目的で設置する手口や、悪意のないバックドアを悪用する手口など4つの手口について解説します。
1.アプリケーションの開発時に仕込む
世の中に出回っているアプリケーションやソフトウェアの中には、サイバー攻撃を行うことを目的に、開発段階からバックドアを仕込んでいるものがあります。
また、オープンソース型ソフトウェアのほとんどは、既存の様々なモジュールを活用することで開発されていますが、そのモジュールにもバックドアが紛れ込んでいる可能性があります。ソフトウェアは手軽に使えて便利な半面、バックドアが設置されているリスクに注意が必要です。
2.OSやアプリケーションの脆弱性を悪用する
OSやアプリケーションの脆弱性をゼロにすることは難しいですが、この脆弱性を悪用したバックドアの設置も珍しくありません。
アプリケーションの脆弱性は開発当初から存在するものだけでなく、開発から日数が経過し生じることもあります。システム環境の変化やサイバー攻撃の巧妙化などは、脆弱性に結びつく要素です。
脆弱性が修正される方が早いか、それともバックドアが設置される方が早いか、の問題だといえるでしょう。また、修正されるまでの期間を「ゼロデイ」と呼んでおり、この間に行うサイバー攻撃を「ゼロデイ攻撃」と呼びます。
ゼロデイ攻撃について、下記記事にて詳細を解説しています。
▼ゼロデイ攻撃への有効対策を解説! 基本知識と被害事例もあわせて紹介
3.Webサイトやメールを利用した設置
Webサイトの閲覧やメール添付ファイルにより感染する「トロイの木馬」といったマルウェアと同様に、バックドアを設置する手口も一般的です。例えば、不特定多数の相手を対象とする場合、バックドアを設置するためのプログラムを仕込んだ添付ファイルをメールでばらまいたり、ダウンロードファイルをWebサイト上で一般公開しダウンロードを促したりします。
特定のターゲットを決めてバックドアを設置しようとする場合は、取引先を装ったメールを送るという手口を使い分けている点に注意が必要です。
また、Webサイトを利用した設置では、手動でダウンロードさせて設置する手口に加え、検索からWebサイトへ訪問しただけで自動的にダウンロードさせる手口もあるため、油断できません。
関連記事をご用意しておりますので、併せてご参考にしてください。
▼URL経由のウイルス感染を防ぐ方法とは? 主な侵入経路や有効な対策を解説
4.メンテナンス目的のバックドアの悪用
ここまで解説したバックドア設置の手口は、どれもサイバー攻撃のためという悪意を前提にしたものです。しかし、悪意なく設置されたバックドアが悪用されてしまう手口もあります。
例えば、主にサービスのメンテナンスのためにバックドアは設置されます。その他、ソフトウェアの開発時にテスト用として設置されたバックドアがそのまま残っていて、リリースされ悪用されるケースも。適法に最初からバックドアが設置されているため、設置自体を禁止できないのです。
バックドアの被害の種類
バックドアを使ったサイバー攻撃を受けたときに考えられる被害にどのようなものがあるか、主な被害の種類について解説します。
情報漏えい
バックドアは、組織や個人が使用するシステムの内部と攻撃者側とを気付かれずに結ぶため、あらゆるデータが筒抜けになってしまう恐れがあります。仮に、情報漏えいにより悪用されてしまった事実が外部に知れ渡れば、顧客から管理体制やセキュリティ対策を問われるなど、信用失墜につながるでしょう。また、損害賠償責任を負わなければならないケースもあり、賠償金支払いを命じられることもあります。
Webサイトやシステムの改ざん・破壊
情報が漏えいするだけでなく、バックドア経由でのサイバー攻撃は、Webサイトやシステムの改ざん・破壊にまで及びます。改ざんや破壊が現実のものになった場合、その被害は業務の遂行が困難になるだけではありません。
例えば、Webサイトにデタラメな表示をされたり、危険なサイトへリンク誘導されたりする事態が起きると、第三者にまで被害が及ぶケースがあります。また、システムが正常に稼働しなくなれば、組織の運営にも大きな支障となります。
不正操作で攻撃の踏み台に
前項の改ざん・破壊も同様ですが、攻撃者はバックドアを経由し、デバイス端末の遠隔操作や不正利用も可能となります。特に懸念されるのが、攻撃者がバックドアを使って乗っ取ったデバイス端末を、第三者への攻撃の踏み台に使うケースです。攻撃者が遠隔操作を行い、自社のシステムが攻撃したと誤認させ、気付かぬうちに加害者になってしまっていたという事態を招きます。
また、バックドアが設置されたサーバーを経由し、そのサーバーと同じLAN(Local area network)内にある他のサーバーおよびそのサーバーにアクセスできる他のLAN内にあるサーバーまでも被害が拡大してしまう恐れがあります。一度バックドアを悪用されてしまったら、つながっている他のサーバーにも新たなバックドアを設置されたり、情報を盗み取られたりする可能性があることを念頭に置いて、適切な対処を行いましょう。
バックドアの被害事例
バックドアを使った攻撃による被害の事例を4つ紹介します。
ウォレットサーバーから仮想通貨の不正流出
2019年7月、国内の仮想通貨交換業者であるビットポイントジャパン社が、バックドアを使用したサイバー攻撃の被害に遭いました。
ウォレットサーバーにバックドアを仕掛けられたことにより、約35億円相当もの仮想通貨が不正流出されています。本件のバックドアは、通常用いている一般的なウイルス対策ソフトをすり抜けて設置されたようです。
ECサイト基盤から顧客情報の流出
パイプドビッツ社のECサイトプラットフォームがサイバー攻撃を受け、利用者の1万人余りの個人情報が流出する事態になったことが、2016年6月に発表されています。
この攻撃は、システム設定の不備により生じた脆弱性を突いて設置されたバックドアによるものです。攻撃者は脆弱性診断ツールを使いWebサーバーの設定不備を発見。そこにバックドアを設置し、システムのファイルを参照したり、データベースへのアクセスを試みたり、その他ECサイト管理者のログインID・パスワードのメッセージダイジェストを閲覧したなどの行動の後、管理画面から個人情報をダウンロードしたとのことです。
PC遠隔操作による犯罪予告と誤認逮捕
2012年に発生したPC遠隔操作による犯罪予告と誤認逮捕は、当時ニュースなどでも大きく取り上げられました。事件は、幼稚園への襲撃予告メールやサイト・掲示板への殺害、爆破予告などを行ったとして、IPアドレスから各都府県警察に4人が逮捕されたものの、真犯人は別にいたというものです。
当初はそれぞれ別の事件として捜査されていましたが、後に実は同一人物がバックドアを利用して所有者が異なる複数のPCを遠隔操作したものだと判明しました。当時、あまり知られていないサイバー攻撃により、まったく関係のない遠方の複数人が誤認逮捕されたことで、全国的な話題となりました。
キーロガーで預金を不正引き出し
キーロガーを使った被害事例も複数出ています。キーロガーとは、キーボードの入力内容を記録する機能を持ったソフトウェアまたはハードウェアのことです。キーロガーそのものは不正を目的として開発されたものではありませんが、悪用されると操作内容からIDやパスワードを盗まれる恐れがあります。
キーロガーの主な被害事例としては、2005年7月に発生した銀行預金の不正引き出しがあります。ユーザーが銀行のWebサイトにアクセスした際のキー入力内容を記録し、外部送信を行いました。業務を装ったメールの添付ファイルによって、バックドアが設置されたと考えられています。
バックドアの被害を防ぐ対策
バックドアの被害を防ぐには早期発見も重要ですが、バックドアを設置されないことも重要です。
以下はバックドアに限らず基本的なセキュリティ対策として、企業に求められる行動です。
- ファイアウォールやリモートアクセスの設定を厳格にする
- セキュリティソフトをインストールし、常に最新の状態を維持する
- システムのアップデートを怠らない
- バックアップを定期的に取得する
さらにバックドアによる攻撃を受けないための基本的な対策について、解説します。
セキュリティ意識の徹底と向上
バックドアに対してだけでなく「情報セキュリティのレベルを上げる」という基本は、セキュリティ意識の徹底と向上・強化につながるといえます。
セキュリティツールやウイルス防御システムなどを使っていても、使用する人間の意識が伴っていなければ、セキュリティホールは完全にはなくなりません。
「どのようにしてサイバー攻撃が行われるのか」「攻撃を受けた場合にどのような被害が生じるのか」といったことから教育と周知を行い、「だからセキュリティは万全にしなければならない」という意識を育てることが重要です。
また、知らない相手からのメールは開かない、怪しいサイトにはアクセスしない、不要なファイルはダウンロードしないといった基礎的なことを疎かにしてはいけません。
セキュリティ意識の向上に向けて、従業員教育を定期的に行うとよいでしょう。次のような効果が得られるようになります。
- セキュリティ意識向上
従業員にサイバー攻撃の手法やバックドアの危険性を理解してもらい、不審なメールや添付ファイルを開かないなど、注意喚起を行います。 - 適切なアカウント管理
パスワードの複雑化や定期的な変更を徹底し、不正アクセスを防止します。 - レベルの高い情報管理
機密情報の取り扱いルールを明確化することで、漏洩を防ぎます。
OSやアプリは最新版を利用する
OSやアプリケーションは、常に最新版を利用することが重要です。前述した通り、開発時点では問題がなかったとしても、時間の経過とともにアプリケーションやソフトウェアには脆弱性が生じやすくなります。
メーカーやベンダーから脆弱性対策として修正パッチが公開されたときは、すぐに適用・更新すべきです。アップデートやバージョンアップはバックドア対策に欠かせません。
監視システムの構築
バックドアを使った不正な通信が行われていないかを監視するシステムの構築も有効な対策です。不正侵入を検知し、レポート、ブロックするなど、バックドアに強いツールの活用が望まれます。
監視ツールやNGAV(次世代型アンチウイルス)、エンドポイントセキュリティなどの製品が様々なベンダーから提供されています。
それらを導入し、下記のような対策を行う社内の監視システムを比較的容易に構築できるため、セキュリティレベルを上げることにつながるでしょう。
- システムの脆弱性対策
自動化ツールを用いて、常に最新の状態を維持し、脆弱性を突いた攻撃を予防します。 - 不正侵入検知・防御
ネットワークやシステムへの不審なアクセスを自動で検知し、遮断します。 - ログ分析
膨大なログデータを自動で解析し、異常な動作を発見します。
関連記事をご用意しております。
▼NGAV(次世代型アンチウイルス)とは? 従来型対策やEPP・EDRとの違いも解説
▼通信の玄関を守るゲートウェイセキュリティとは? 対策の種類を詳しく解説
▼SASE製品を比較紹介! メリットや導入時の注意点、クラウドに効果的なセキュリティ対策の最前線を紹介
バックドアを駆除する方法
バックドアの一般的な駆除法としては、セキュリティツールやベンダー提供の駆除ツールの使用が考えられます。どちらか一方を使えばよいというものではなく、必要に応じて最適な方法を選択しましょう。
バックドアは設置されていることに気付きづらい傾向があるため、発見されたバックドアだけを駆除すれば安心というわけではなく、設置されていないか調査して発見次第、駆除する必要があります。それらを実行するセキュリティツールや駆除ツールが有効なのです。
また、個別のバックドアに対応するのではなく、デバイス端末を初期化することで駆除できる方法もあります。初期化してしまえば、他のウイルスにも対応可能です。ただし、初期化する際には必ずデータのバックアップを取りましょう。
バックドアの駆除を自社で完璧に行えるか不安がある場合など、万全な対策を目指すならITセキュリティに実績のある専門業者に依頼するのもひとつの手段のため、まずは問い合わせてみることもおすすめします。
バックドア対策サービス・製品
主にバックドア対策のソリューションとして、以下のものが挙げられます。
- EDR(Endpoint Detection and Response)
エンドポイントと呼ばれるPCやサーバーなどの端末の異常を検知し、管理者へ通知するソリューション - IPS・IDS(Intrusion Prevention System・Intrusion Detection System)
IPSとはネットワークの「不正侵入防御システム」、IDSとは「不正侵入検知システム」のこと。これらを組み合わせることで、より強固なセキュリティ環境を構築します。 - WAF(Web Application Firewall)
Webアプリの脆弱性を突くサイバー攻撃から守ります。 - サンドボックス
未知のファイルやプログラムを実行する際に通常の領域から隔離し、安全性を高めるために作成される仮想環境のことです。
これらのソリューションを自社で使いこなし、高レベルのセキュリティ体制を保てれば問題ありませんが、セキュリティに関するノウハウや人材を有した組織ばかりではないでしょう。自社だけでは難しいかもと感じたときに頼れるのが、自社の状況に応じた提案や支援を受けられる専門のソリューションサービスです。
テクバンでは、上記で紹介したEDRの他に、SWG(セキュアWEBゲートウェイ)やmailセキュリティなど様々なセキュリティサービスの構築支援を行っております。最新のセキュリティ対策をお客様の要望・環境に適した形で提供し、セキュリティリスクから守る体制づくりをサポートします。
テクバンの次世代セキュリティ対策
バックドアには幅広い対策を
バックドアの仕組みやバックドアを使用した手口・被害事例などを紹介してきました。
バックドア対策は多角的な対策を講じることで、サイバー攻撃による被害を最小限に抑えることができます。
バックドアが設置されているだけでは被害を生まないものの、いつ大規模なサイバー攻撃を受けてもおかしくない状況のため、厄介な存在です。情報漏えいや改ざん・破壊に関しても、経済的損失だけでなく社会的信用失墜につながりかねません。
バックドアに対しては基本的なセキュリティ意識から外部のソリューションサービスまで、幅広いセキュリティ対策が求められます。本記事を参考に、ぜひ社内のバックドア対策に取り組んでみてください。
テクバンへセキュリティ対策について相談