バックドアは、攻撃者が標準的な防御を回避し、密かにシステムにアクセスすることを可能にすることで、サイバーセキュリティに重大な脅威をもたらします。明白なアラームを作動させる正面からの攻撃とは異なり、バックドアは、通常の認証とセキュリティ制御を回避する隠れたエントリ・ポイントです。バックドアが挿入されると、権限のないユーザに永続的かつハイレベルなアクセスを許可し、データの窃取、監視、さらなる攻撃を可能にする一方で、多くの場合、長期間にわたって検出されません。本レポートでは、サイバーセキュリティの専門家向けに、バックドアの定義、技術的基盤、バックドアの種類、攻撃の歴史的事例、検出技術、予防と緩和のためのベストプラクティス(高度な脅威検出のためのVectra AI のような最新のプラットフォームを含む)など、バックドアに関する詳細な概要を説明しています。その目的は、セキュリティチームがバックドアの脅威と防御について完全に理解できるようになることです。
サイバーセキュリティにおいて、バックドアとは通常、システム、ネットワーク、ソフトウェアの通常の認証やセキュリティを迂回し、攻撃者に無許可のリモートアクセスを許可する秘密の方法と定義される。要するに、ソフトウェアやハードウェアにおける秘密の「トラップドア」のようなもので、通常のセキュリティ・メカニズムでは保護されない別の入口です。バックドアは、意図的に(開発者や悪意のある内部関係者などによって)導入されることもあれば、不注意に(脆弱性や設定の不備によって)導入されることもあります¦。
バックドアには様々な技術的形態があります。アプリケーション内のコードの隠れた部分であったり、昇格した権限で実行される別の悪意のあるプログラムであったり、ファームウェアの修正であったり、あるいはオペレーティングシステムに組み込まれた秘密のアカウントであったりします¦。バックドアの中には、リッスン中のネットワーク・ポートを開いてコマンドを受け付けるmalware ような単純なものもありますが、例えば暗号化アルゴリズムを意図的に弱める暗号バックドアのような、より巧妙なものもあります。悪名高いDual_EC_DRBGのケースでは、乱数ジェネレータは暗号定数間の関係を隠して設計されていました。この秘密を知っている攻撃者は、乱数ジェネレータが生成する将来の「乱数」をすべて予測することができ、効果的に暗号化セキュリティを破壊することができました。このようなアルゴリズムのバックドアは、数学的な構成要素でさえも、いかにセキュリティを損なうために裏をかくことができるかを示しています。
攻撃者はさまざまな方法でバックドアをインストールする。一般的なベクターとしては、以下のようなトロイの木馬型malware ある。 フィッシング またはドライブ・バイ・ダウンロードによって配信されるトロイの木馬型マルウェア、パッチが適用されていないソフトウェアの脆弱性の悪用、デフォルトの認証情報の悪用、ソフトウェアの開発やアップデートの配布中に悪意のあるコードが挿入されるサプライチェーンの侵害などがあります。一度インストールされると、バックドアは通常、再起動やアップデートに耐えられるように(スタートアップスクリプトやファームウェアを修正するなどして)永続性を確立します。また、多くのバックドアは、検出を回避するためにステルス技術(プロセスを隠したり、正当なサービスを装ったりするルートキットなど)を採用しています。バックドアを設置すると、攻撃者は通常、高い権限でコマンドを実行し、ユーザーアクティビティを監視し、データを流出させ、さらには他のシステムに拡散することができます。
バックドアは、標的とするレイヤーやコンポーネントによって分類することができる。以下に主なバックドアの種類を示すが、それぞれ特徴やリスクが異なる:
これらのバックドアは、オペレーティング・システムやカーネル・レベルで動作し、多くの場合、ターゲット・マシンに対するルート・コントロールやアドミニストレーター・コントロールを許可します。ルートキット(OSカーネルにフックして存在を隠すステルス型malware )を介して侵入することもあります。システムレベルのバックドアは、文書化されていないOSのユーザーアカウントや、シークレットポートをリッスンするサービスの形をとることもあります。これらは高い権限で実行されるため、非常に強力で持続性があります。例えば、カーネル・モードのバックドアは、悪意のある活動を隠すためにシステム・コールを傍受したり、攻撃者が正規のユーザーには知られていないマスター・パスワードでログインできるようにするかもしれない。これらのバックドアは、オペレーティング・システムの基本的なセキュリティを効果的に損なうため、最も危険なバックドアの一つです。
アプリケーション・レベルのバックドアとは、アプリケーションやソフトウェア・コンポーネントに埋め込まれた悪意のあるコードのことです。攻撃者は、認証をバイパスしたり、データを吸い上げたりするための隠された機能を含むように、アプリケーションを変更する(あるいは、汚染された依存関係を含むように開発者を騙す)かもしれません。バックドアは信頼されたアプリケーションのコンテキストの中で動作するので、ユーザや管理者からは分からないかもしれません。例えば、ウェブ・アプリケーションには、開発者によって残された隠された「デバッグ」モードや管理インタフェース(メンテナ ンス・フック)があるかもしれません。アプリケーションのバックドアは、通常、そのソフトウェアの範囲に限定されるため、その影響はシステムレベルのバックドアよりも狭いかもしれません。特に、一部のmalware ウェブサーバアプリケーションにウェブシェルバックドアを設置し、攻撃者が HTTP リクエストを介してサーバ上でコマンドを実行できるようにします。
これらは、ハードウェア・デバイスや低レベルのファームウェアに仕込まれたバックドアであり、多くの場合、製造中やサプライ・チェーン攻撃中に仕込まれる。ハードウェアのバックドア は、非常にステルス性が高く、永続的である可能性があります。その例としては、特殊なコマンドを受け付ける隠されたロジックを持つ修正されたネットワークカード、ルーター、マザーボード、あるいは BIOS/UEFI やデバイスコントローラーへのファームウェアインプラントが挙げられます。ハードウェアバックドアはオペレーティングシステムの下に存在するため、従来のセキュリティソフトウェアを回避することができる。歴史的な例としては、1990 年代に提案されたクリッパー・チップ(政府のキー・エスクロー・バックドアを内蔵した暗号化チップ)が挙げられます。より最近では、VPNFilter のようなmalware ルーターのファームウェアを標的にし、再起動を生き延び、攻撃者がネットワーク・トラフィックをスパイすることを可能にするバックドアをインストールした。さらに、暗号化アクセラレータや管理エンジン(例:Intel AMT サブシステム)のような重要なハードウェアにバックドアが仕込まれており、悪用されると攻撃者にほぼ完全な制御を許してしまうという懸念も指摘されています。ハードウェアレベルのバックドアを検知 除去することは困難であり、多くの場合、唯一の解決策は侵害されたハードウェアを交換することです。
RATは、バックドア・チャネルを介して攻撃者にシステムのリモート管理制御を提供するmalware プログラムです。RATは通常、無害なファイルや正規のソフトウェアを装いますが、いったん実行されると、攻撃者と被害者のコンピュータの間に秘密の通信リンクを開きます。これにより、攻撃者はコマンドを発行したり、ユーザーを監視したり(例:キーストロークのロギングやウェブカメラの起動)、ファイルを盗んだり、さらにはリアルタイムでシステムを操作したりすることが可能になります。Back Orifice (1998)、SubSeven、Poison Ivy などの RAT は、90 年代後半から 2000 年代にかけて、ハッカーに Windows マシンの完全な制御を密かに与えることで悪名高くなりました。最近のRATは フィッシング 電子メールやドライブバイダウンロードによって配信され、バックグラウンドで静かに実行されます。多くの場合、通常のプロセス動作を模倣したり、ネットワークトラフィックに暗号化を使用したりすることで、検出を回避しようとします。RATは基本的にバックドア(無許可のリモート・アクセス・ポイントを提供する)であるため、侵入に広く使用されているツールです。セキュリティの専門家は、RAT感染が検出された場合、それが攻撃者に与えるコントロールの幅の広さから、重大な侵害として扱います。(バックドアは、意図(悪意のあるバックドアと合法的な保守用バックドア)や攻撃の段階(プリインストールとポストエクスプロイト)によっても分類することができます。さらに、暗号化アルゴリズムやプロトコルに意図的に弱点を導入する暗号バックドアも注目に値する。後述するDual_EC_DRBGのケースは、アルゴリズムにおける暗号バックドアの典型的な例である。種類に関係なく、すべてのバックドアには、通常のセキュリティをバイパスするアクセス経路という共通したテーマがある)。
バックドア攻撃の注目すべき歴史的事例 バックドアは、数々の有名なサイバーインシデントで役割を果たしてきた。以下では、バックドアがどのように埋め込まれ、どのような影響を及ぼすかを示す、いくつかの注目すべき例を取り上げます:
SolarWinds事件は、最近の歴史の中で最も悪名高いサプライチェーン攻撃の1つです。攻撃者(ロシアのAPT29、別名Cozy Bearとされる)は、ソーラーウィンズのOrion IT管理ソフトウェアの構築プロセスを侵害し、定期的なソフトウェア・アップデート¦に隠されたバックドアを挿入した。顧客(18,000人以上)がトロイの木馬化されたアップデートをインストールすると、SUNBURSTと名付けられたバックドアが起動し、攻撃者がこれらの組織のネットワークにリモートアクセスできるようになりました。このバックドアは秘密裡の偵察とデータ流出に使用され、2020年には何カ月も発見されないままだった。米国政府機関(国土安全保障省、財務省など)やハイテク企業(マイクロソフト、ファイア・アイ)など、価値の高い標的が被害を受けた。この侵害は、最終的に2020年12月にFireEyeが自社のネットワークの異常な動作に気づき、Orionソフトウェアにたどり着いたことで発見された。SolarWindsのケースは、サードパーティ製ソフトウェアのバックドアの危険性を浮き彫りにした。自動アップデートの信頼を悪用することで、攻撃者は1つのバックドアを活用し、一度に数千の組織に侵入する可能性があった。
Dual_EC_DRBGは、2006年にNISTによって標準化された暗号擬似乱数生成器であり、後にNSAが設計した疑いのあるバックドアがあることが暴露された。このアルゴリズムには楕円曲線数学が使われており、定数(楕円曲線上の点)のセットが含まれている。もし悪意を持って選択された場合、その定数の背後にある秘密を知っている者は、生成される乱数を予測することができる。2007年、研究者たちは定数が隠されたトラップドアである可能性を初めて実証し、出力データの小さなサンプルを観察した後にRNGの出力を予測することを可能にした。こうした警告にもかかわらず、このアルゴリズムは何年もの間、承認された標準のままだった。2013年にリークされたNSAの文書(スノーデンのリーク)は、NSAが暗号化標準を弱体化させるBullrunプログラムの一環として、Dual_EC_DRBGを意図的に弱く設計したことを強く示唆した。後に、RSAセキュリティ社がBSAFE暗号ライブラリのデフォルトのランダム・ジェネレータとしてDual_EC_DRBGを使用するために、NSAから1000万ドルの極秘契約を受けたことが報告された。このことが公になると、NISTはDual_EC_DRBGを撤回し、主要ベンダーはDual_EC_DRBGを放棄した。Dual_EC_DRBGの悲劇は、アルゴリズム・レベルでのバックドアの画期的な例である。つまり、表向きは安全なコンポーネントが、知る人ぞ知るセキュリティを破るために破壊されたのである。これは、標準に対する政府の影響力に関して、業界に深刻な信頼問題を提起した。
2015年、ジュニパーネットワークスは、ScreenOS(同社のNetScreenファイアウォールのオペレーティング・システム)に2つのバックドアを導入する不正なコードが見つかったことを明らかにした。1つのバックドアは、攻撃者がリモートからファイアウォールに完全な権限でログインできるようにする管理マスターパスワードでした。もうひとつは、おそらく Dual_EC_DRBG に関連した暗号化バックドアで、ジュニパーの VPN はランダム性のために Dual_EC を使用しており、攻撃者は ScreenOS の Dual_EC 定数を変更していた。研究者たちは、これはNSAが仕掛けたDual_ECの弱点を悪用した「教科書的な例」だと指摘した。ジュニパーの事件は、政府が強制したバックドアにおんぶにだっこの危険性を示しました。たとえNSAが直接の攻撃者でなかったとしても、他の誰かが自分たちのスパイ活動のために弱点を再利用したのです。また、洗練された行為者が製品のソースコードに悪意のあるコードを忍び込ませ(サプライチェーン/内部脅威)、検知困難なバックドア・アクセスを作り出す方法も浮き彫りになりました。ジュニパーはすぐにパッチをリリースし、不正なコードを削除しましたが、この事件により、同社のコード・セキュリティ・プロセスの完全性について多くの疑問が残りました。
リモート管理ツールの悪用Back Orificeは、1998年にハッカー・グループ(Cult of the Dead Cow)によってWindows用の「合法的な」リモート管理ツールとしてリリースされたが、すぐにmalware悪名高いものとなった。これは基本的に、Windows 95/98システムの遠隔操作を可能にするRAT/バックドアとして機能した。攻撃者はユーザーを騙してBack Orificeを実行させ、Back Orificeはこっそりと実行され、攻撃者は被害者のPCのスクリーンショットやキー入力をキャプチャしたり、ファイルを操作したりすることができた。この初期の例は、リモート管理ツールがバックドアとしてどのように武器化されるかを示し、このような隠れたアクセスの深刻なリスクを露呈した。一度インストールされると、Back Orificeはシステムの機密性と完全性を完全に損なう可能性がありました。これは、有用な管理ユーティリティとバックドア型トロイの木馬の境界線が非常に薄い可能性があるため、リモート・アクセスを許可するツールは厳重に管理されなければならないことをセキュリティ専門家に教えました。
その他の顕著なバックドアの例としては、ペイロードの一部としてイランの産業システムに複数のバックドアを採用したStuxnet(2010年)、攻撃者がアクセスを維持し、膨大な量のデータを流出させるためにバックドアをインストールしたソニー・ピクチャーズの侵害(2014年)、2018年に報告された(物議を醸した)マザーボードのインプラント疑惑のようなハードウェアレベルのバックドアがある。各事件は、ソフトウェアのアップデート、malware、暗号の破壊、ハードウェアの操作など、バックドアの発現方法が多様であること、そしてバックドアが使用された場合に壊滅的な結果をもたらす可能性があることを強調している。
バックドアを防止するには、セキュリティに対する包括的で多層的なアプローチが必要です。ここでは、バックドアのインストールと悪用のリスクを最小化するために、SOCチームが実施できるいくつかの戦略を紹介します:
バックドアを防ぐには、すべてのソフトウェアを最新の状態に保つことが重要です。攻撃者はしばしば、古いソフトウェアの既知の脆弱性を悪用してバックドアをインストールする。
システムや機密データへのアクセスを制限することで、内部関係者がバックドアを設置するリスクを減らすことができる。
ネットワークをセグメントに分割することで、攻撃の広がりを抑え、攻撃者が横方向に移動することをより困難にすることができる。
バックドアの存在を示す可能性のある不審な活動を検知 し、対応するための高度なツールを導入する。
社内およびサードパーティのソフトウェアが、悪用される可能性のある脆弱性を最小限に抑えるために、セキュアコーディングプラクティスに従っていることを確認する。
セキュリティのベストプラクティスと潜在的な脅威について従業員を教育することで、内部脅威やソーシャルエンジニアリング攻撃のリスクを低減することができます。
強固なインシデント対応計画で、潜在的なバックドアインシデントに備える。
これらの戦略を実施することで、SOCチームはバックドアのインストールと悪用のリスクを大幅に低減し、組織の全体的なセキュリティ体制を強化することができます。
Vectra AI は、高度なAI主導 脅威検出および対応機能により、バックドアの検出と軽減に優れています。ネットワークトラフィックとシステム動作を継続的に監視することで、Vectra AIはバックドアの存在を示す異常な動作を特定します。当社のプラットフォームは、実用的な洞察と自動化された応答を提供し、脅威を迅速に無力化します。Vectra AIがお客様のセキュリティ体制をどのように強化できるかについては、当社のプラットフォームのセルフガイド・デモをご覧ください。
サイバーセキュリティにおいてバックドアとは、コンピュータ・システム、ネットワーク、またはソフトウェア・アプリケーションへのリモート・アクセスを得るために、通常の認証手続きを回避する方法を指し、多くの場合、密かにインストールされる。攻撃者が悪意のある目的で使用することも、システム管理者が正当な目的で使用することもあります。
バックドアは、システムの脆弱性を突くなど、さまざまな手段でインストールすることができます、 フィッシング 攻撃、悪意のあるソフトウェアのインストール、悪意のあるインサイダーによるソフトウェアの初期開発中、サプライチェーンの侵害など、さまざまな手段でインストールされます。
そのリスクには、不正なデータアクセス、データの盗難、追加のmalwareインストール、システムの損傷、将来の攻撃の足がかりを作ることなどが含まれます。バックドアは、システムやデータの機密性、完全性、可用性を損ないます。
組織は、高度なmalware 検出ツールによる定期的なシステムやネットワークのスキャン、異常なネットワーク・トラフィックや動作の監視、ソフトウェア開発プロセスにおけるコード監査を実施することで、バックドアを検知 ことができる。
予防戦略には以下が含まれる:システムおよびソフトウェアを定期的に更新し、パッチを適用して脆弱性を修正する。強固な多要素認証とアクセス制御を採用する。のリスクを軽減するためのセキュリティ意識向上トレーニングを実施する。 フィッシング やその他のソーシャル・エンジニアリング攻撃のリスクを軽減する。許可されていないアプリケーションの実行を防止するために、アプリケーションのホワイトリストを活用する。ネットワークのセグメンテーションを実施し、横の動きを制限する。
バックドアは、ITスタッフによるリモート管理やトラブルシューティングのような目的のために合法的に使用することができます。しかし、その使用には、安全な認証方法による厳格な管理、すべてのアクセスの詳細なロギング、悪意のある目的に悪用されないための定期的な監査が必要です。
バックドアを検出したら、組織は直ちに影響を受けたシステムを隔離し、侵害の範囲を特定するために徹底的な調査を行い、バックドアと関連するmalware削除し、必要に応じてクリーンなバックアップから影響を受けたシステムを復元する必要がある。
暗号化は、転送中および静止中のデータを保護し、バックドアを悪用した権限のないユーザーによる機密情報へのアクセスや解読を困難にすることで、重要な役割を果たします。
IoTやスマートデバイスの普及は、バックドアの潜在的な攻撃対象領域を拡大し、セキュリティを優先して設計されていない可能性のあるデバイスに新たな脆弱性をもたらします。これらのデバイスが安全に設定され、定期的に更新されていることを確認することは、バックドアの脅威を軽減するために不可欠です。
今後の展開としては、検知能力を高めるためのAIや機械学習技術の進歩、ソフトウェアやIoTデバイスのセキュリティに関する規制要件の強化、脆弱性を最小限に抑えるためのソフトウェアやハードウェアの開発におけるセキュア・バイ・デザイン原則の採用などが考えられる。