リモートアドミンツールによる個人情報漏洩 1

2006年1月にハッカージャパン誌に寄稿した記事です。初稿にほとんど修正を加えず掲載しておりますので、古い情報であることにご注意ください。

リモートアドミンツールを利用した個人情報の採取

クラッカーはシステムに侵入し自由に操りたいという欲求を常に持っているものだが、それを満たすツールの一つがRAT（Remote Admin Tool / リモートアドミンツール）である。

RATサーバをターゲットに仕掛けることができれば、リモートのRATクライアントからシステムを自在に操作できるからだ。古いものではBack OrificeやNetBus、そしてSub7などが有名な存在だが、現在も日々進化した新しいRATが作成されている。

ここ数年のRATは、ファイヤーウォールバイパス機能を有しているため、ルータやパーソナルファイヤーウォールをすり抜けてクラッカーのリモート操作を可能にし、また、既知のマルウェア（アンチウイルスソフトで検出対象）であっても、検出を回避するよう改変したものが利用されることも少なくない。

このため、アンチウイルスソフト＋パーソナルファイヤーウォール＋ルータといった一見、安全そうな環境であっても攻略される危険性がある。もちろん、全てのアンチウイルスソフトやパーソナルファイヤーウォールでの検出回避ができるわけではないが、クラッカーは事前にメジャーなソフトに検出されないよう改変し、それを確認してから利用してくる。

RATによる遠隔操作と情報の漏洩

RATサーバがインストールされたシステムでは、ハードディスクの内容、プロセス、レジストリなどの閲覧、改ざんなどはもとより、リアルタイムでのキーロギング、スクリーンキャプチャなど様々な機能を用いた操作が行える。このため、感染したユーザが存在に気がつかなければ、あらゆる情報が漏洩するだけでなく、コンピュータがハイジャックされた状態となるわけだ。つまり、踏み台やシステムの破壊など、クラッカーの意のままに悪用されてしまうことになる。

ターゲットをRATサーバに感染させる手口は様々な手法が考えられるが、代表的な方法としては以下の二つがある。

脆弱性を利用して自動的にRATサーバをダウンロード・実行させる。

ファイルを偽装し、ユーザが実行するのを待つ。

また、RATサーバを仕掛けることに成功したクラッカーは、新たなバックドアやツールなどをアップロードして実行し、更にそれらの存在を隠蔽するためにルートキットを利用する可能性もある。最近のRATは、自身の存在を隠蔽するルートキットオプションが用意されているものも少なくないが、新たなツールをインストールする場合には、それも含めて隠蔽する。

ここでは、実際に利用されている手法を例にRATサーバを仕掛ける手口（トラップの作成）からルートキットによる隠蔽までを紹介していこう。