マルウェア
リモートアクセストロイの木馬(RAT)
別称: RAT, リモートアクセスツール(悪意ある)
定義
感染端末を攻撃者がひそかに対話的に操作できるようにするマルウェア。隠された遠隔管理ツールに近い。
リモートアクセストロイの木馬(RAT)は、攻撃者が画面閲覧・コマンド実行・ファイル操作・キーロギング・音声映像のキャプチャ・横展開を行えるよう、隠密のバックドアをインストールします。正規のリモート管理ソフトと異なり、同意なくインストールされ、検知の回避を目的としています。配布経路はフィッシングの添付、クラックソフト、ドライブバイダウンロード、または初期侵害後の追加ペイロードなどです。サイバー犯罪者と国家支援アクターの双方に好まれます。対策としては、EDR、アプリケーション許可リスト、送信通信のフィルタリング、見慣れない遠隔操作プロトコルの監視、最小権限のアカウントなどが挙げられます。
例
- フィッシングキャンペーンで配布される AsyncRAT および njRAT。
- DarkComet は過去に活動家やジャーナリストの監視に使われた。
関連用語
トロイの木馬
正規プログラムを装って利用者に実行させ、内部に潜ませた悪意のあるペイロードを発動させるマルウェア。
バックドア
通常の認証やアクセス制御を回避し、攻撃者に将来のシステムアクセス手段を提供する隠された仕組み。
キーロガー
利用者のキー入力を記録するソフトウェアまたはハードウェア。パスワード・金融データ・メッセージなどの窃取に使われる。
コマンド&コントロール(C2)
攻撃者が侵害済みシステムとの通信を維持し、指令を送るために用いるインフラと通信チャネル。
Advanced Persistent Threat (APT)
Advanced Persistent Threat (APT) — definition coming soon.
EDR(エンドポイント検知・対応)
プロセス・ファイル・レジストリ・ネットワーク活動を継続的に記録し、エンドポイント上の脅威を検知・調査・対応するエンドポイントセキュリティ技術。