リモート管理ツール の正体とその除去方法

記入者 ジェイク・ドウ - - 更新 | タイプ: リモート管理ツール
12

リモート管理ツール (または RAT) は、ハッカーや他の者がインターネット経由またはローカル・ネットワークを通じてリモートの PC に接続し、目的のアクティビティを行うために使うプログラムです。リモート管理ツールはサーバー & クライアント・ベースのテクノロジーです。サーバー側は制御された PC 上で動き、リモート・ホストにインストールされているクライアントからのコマンドを受領します。リモート管理ツールはバックグラウンドで動作し、ユーザーからは見えません。これを制御している人物はユーザーのアクティビティをモニタし、ファイルを管理して、追加のソフトをインストールしたり、現行アプリやハードウェア端末を含むシステム全体を制御したりできると共に、メインのシステム設定を改ざんし、PC の電源を落として再起動することもできます。

リモート管理ツールは悪意のあるアプリと、合法的なアプリとに分けられます。寄生的 RAT はリモート管理トロイとしても知られていますが、バックドアにたいへんよく似ており、似た機能を持っています。しかし、バックドアほど素早く広まることはなく、その他に破壊的な機能や別の危険なコードは持っていません。これらのパラサイトはそれだけでは動作せず、クライアントによって制御される必要があります。

合法的なリモート管理ツールは主にシステム管理者を対象とした商用的な製品です。その主な目的は、リモートから PC にアクセスして修復したり制御したりするために PC へのアクセス権限を求めることにあります。とは言え、合法的な RAT も寄生型のプログラムと同じ機能性を持っているわけですので、明らかに悪意のある目的で使用することもできるわけです。

リモート管理ツールを利用して行われるアクティビティ

すでに述べたように、合法的な RAT は違法なものと大変よく似ています。しかし、違法なものは違法なアクティビティにのみ使われており、以下はその例です:

  • 侵入者が任意のファイルの作成、削除、リネーム、コピー、または編集が行えるようにします。攻撃主は RAT を使って様々なコマンドの実行やシステム設定の変更、Windows レジストリの変更や実行、アプリの制御や終了などが行えます。最後に、オプションのソフトウェアやパラサイトのインストールにも使われる場合があります。
  • 攻撃主がハードウェアの制御、関連の設定の改ざんを行えるようにし、ユーザーの承認を得ずに PC をシャットダウンまたは再起動させます。
  • 悪意のある人物にユーザーのインターネット上のアクティビティを監視できるようにします。このアクティビティにより、被害者はパスワードやログイン名、個人の文書、その他機密性のある情報を失うことがあります。
  • スクリーンショットをキャプチャし、ユーザーのアクティビティを追跡します。そのような手法を利用して収集されたあらゆるデータが、侵入者に転送されます。
  • PC のパフォーマンスを低下させ、インターネットの接続スピードを遅くして、システムのセキュリティを低下させます。通常、そのようなウィルスは PC を不安定にさせる原因にもなる場合があります。
  • ユーザーから見えないようにして、できるだけ除去されにくいようにします。

リモート管理ツール (RAT) の配布方法

リモート管理ツール (RAT) は通常の PC ウィルスとは異なります。そのサーバー側は他のソフトウェアと同様に感染したシステムにインストールされている必要があります。もちろん、これを行うには、ユーザーの同意を得る場合も、得ない場合もあります。未承諾の RAT がシステムに入り込む主な方法は 2 つあります:

  • 手動によるインストール。 合法的なリモート管理ツールは、システム管理者、あるいはソフトウェアのインストールに充分な権限を持つ他のユーザーにより、手動でインストールすることができます。ハッカーがシステムに押し入って、独自の RAT をセットアップすることもできます。いずれの場合も、感染したユーザーの知らないうちに、あるいは同意を得ずにプライバシーを侵害する脅威がインストールされます。
  • 他のパラサイトを利用した侵入。 悪意のあるリモート管理ツールは、ウィルスやバックドア、またワームといった他のパラサイトによってインストールされる場合もあります。特定のトロイによって投下されることもよくあり、Internet Explorer ActiveX コントロールを使ったり特定のウェブ・ブラウザの脆弱性を悪用したりしてシステムに侵入します。その作者は悪意のあるコード満載の危険なウェブサイトを運営したり、危険なポップアップ広告を配布したりします。ユーザーがそのようなサイトにアクセスしたり該当するようなポップアップをクリックしたりすると、必ずすぐに有害なスクリプトがトロイをインストールします。ウィルスはセットアップ・ウィザードやダイアログ、また警告を一切表示しないため、ユーザーは何も怪しいものに気づくことができません。

まとめますと、悪意のあるタイプのリモート管理ツールにより、攻撃主は感染した PC を自分の PC と同じように使い、様々な悪意のある目的に使用することができるということです。そのようなパラサイトを制御していた人物が暴露されることはほとんどないため、そのアクティビティの責任は該当するシステム上に悪意のある RAT をインストールされた罪のないユーザーに課されるのです。

実際的な話、リモート管理ツールはどれも検出しにくいものです。何ヶ月もの間気づかれないままユーザーのプライバシーを侵害し、場合によっては何年もにわたることもあります。悪意のある人物が RAT を用いてユーザーに関するあらゆる情報を見つけ出し、ユーザーのパスワードやログイン名、クレジット・カード番号、詳細な銀行口座の情報、貴重な個人的文書、連絡先、興味のある事柄、ウェブの閲覧習慣、など様々な貴重な情報を手にいれて開示してしまうのです。

どのようなリモート管理ツールであっても、破壊的な目的に使うことができます。感染した PC から貴重な情報や使える情報を手に入れることができなかった場合、あるいはすでに盗み出した場合、ハッカーは最終的にシステム全体を破壊して攻撃を跡形もなく消してしまいます。つまり、全てのハード・ディスクがフォーマットされ、そこにあったファイルは全て消去されるということです。通常、リモート管理ツールの悪意のあるタイプは Microsoft Windows OS を実行している PC に感染します。しかし、普及率は低いものの、Mac OS X その他別の環境のもとで動作するようにデザインされているパラサイトも数多く存在しています。

最も悪名高い RAT の例

リモート管理ツールには何千という種類があります。以下の例は、これらの脅威がいかに強力で甚だしく危険であるかを示しています。 

PC Invader は、リモート・システムの重要なネットワーク設定を改ざんするためにハッカーが使用する、悪意のあるリモート管理ツールです。PC Invader の主たる目的は重要な PC の設定やその IP アドレス、DNS アドレス、PC 名、規定のゲートウェイなどを改ざんすることであるため、大変危険であると考えられています。PC のシャットダウンや再起動もできます。

Back Orifice は侵入者に感染した PC で思いのままに振る舞い、それ以上のこともできるようにしてしまう、悪名高い有害なリモート管理ツールです。このツールには危険な機能が大量に搭載されており、被害者を完全に無防備にし、混乱に陥れます。Back Orifice はファイルの管理、アプリの実行とインストール、定義されたプロセスの終了、重要なシステムおよびネットワークの設定の改ざん、オペレーティング・システムやインストール済みのハードウェア端末の制御、キー・ストロークの記録、スクリーンショットの撮影、動画または音声のキャプチャ、パスワードの窃盗などに使用されます。このリモート管理ツールはプラグインをサポートしているため、他にも別の機能を追加することができます。

Beast もまた別のウィルスですが、これはリモート管理ツールの大規模ファミリーに属しています。この脅威の作成者は有名なハッカーであり、Tataye と呼ばれています。弊社が知る所では、Beast の最初のバージョンは 2001 年の 4 月から 2004 年の 3 月にかけて現れました。このウィルスは Delphi で記述されており、ASPack で圧縮されています。

システムから RAT を除去する

悪意のあるタイプの RAT はシステムの奥深くにそのファイルや他のコンポーネントを隠すため、手動では除去することができません。そのような脅威を除去するための最も信頼できる方法は、評判のよいアンチスパイウェア・ツールを使用することです。そのようなプログラムなら最も危険なウィルスでも検出し、削除することができるため、PC にインストールするのを先延ばしする必要もありません。ReimagePlumbytes Anti-MalwareWebroot SecureAnywhere AntiVirus を使えば、PC を修復し、どのような RAT も除去することができます。

PC に詳しく、手動で PC にある RAT のファイルを見つけられるとお考えの方は、検出されたコンポーネントを除去される前に、もう一度よく考えてみてください。そうしないと、PC が不安定になるなど、重大な問題に遭遇することも考えられるからです。2-Spyware.com など数多くの PC リソースを使えば、マルウェアを手動で除去される際にお役に立つでしょう。システムから RAT (悪意のあるタイプ) を除去する方法の詳細ガイドは、質問する ページからお問合せを投稿していただくと、お受け取りいただけます。

データベースに追加された最新のウィルス

リモート管理ツール データベース

6月 14, 2017

Springserve ウィルス

Springserve ウィルスはどう動くの? Springserve ウィルスは、ブラウザを紛らわしい広告で溢れさせるようなアドウェア プログラムです。 もっと見る
6月 14, 2017

NM4 ランサムウェア・ウィルス

NM4 暗号化型マルウェアがデータの暗号化に乗り出す NM4 ウィルスは R ランサムウェア  の新しい亜種として発見されました。 その祖先と同じく、RSA-2048 および AES-256 の両データ暗号化手法を組み合せてフィアルを暗号化します。 もっと見る
6月 13, 2017

Crypt0L0cker ウィルス

Crypt0L0cker ウィルスのアクティビティ Crypt0L0cker ランサムウェアは悪名高い暗号化タイプのマルウェア で、多くのソースで Crypt0L0cker ウィルスと言及されているのが見られます。 もっと見る
6月 13, 2017

Russian 広告

訪問先のサイトに Russian 広告が現れる理由 迷惑な Russian 広告は、PC がアドウェア に感染した時に現れるようになるのが一般的です。 もっと見る
6月 13, 2017

「Windows Defender Alert: Zeus ウィルス」Tech Support Scam

「Windows Defender Alert: Zeus ウィルス」Tech Support Scam – 騙されたくなければ、見つけられるようにしましょう! 「Windows Defender Alert: Zeus ウィルス」Tech support scam ウィルスは悪意のある PC プログラムで、フィッシング・サイト へのリダイレクトの原因になり、また偽のセキュリティ警告を表示して被害者を脅そうとします 。 もっと見る
6月 13, 2017

Kazu Media 広告

Kazu Media 広告が信頼できないのはなぜ? セキュリティのニュースにあまり関心を持っていない方には、まだ Kazu Media ウィルスという名前は耳新しいものかもしれません。 もっと見る
6月 12, 2017

"This PC Has Been Blocked" ウィルス

“This PC Has Been Blocked” ウィルスについて知っておくべきこと “This PC Has Been Blocked” ウィルスは、知られずにシステム内に入り込んで、ユーザーに偽のテクニカル・サポートに電話を掛けさせようとする、こそこそしたトロイの木馬 です。 もっと見る
6月 12, 2017

Uc123.com ウィルス

Uc123.com ウィルスの特異性 Uc123.com ウィルスは hao123 と呼ばれるブラウザ・ハイジャッカーのファミリーに属しています。 もっと見る
6月 12, 2017

Vortex ランサムウェア・ウィルス

ポーランドの犯罪者が Vortex ランサムウェア・ウィルスをリリースしてデータを破壊 Vortex ウィルスはポーランド人のサイバー犯罪者によって開発されたと見られる、洗練されたランサムウェア ウィルスです。 もっと見る
6月 12, 2017

Master ランサムウェア・ウィルス

Master ランサムウェア・ウィルスは BTCWare ランサムウェアの作者による新しいウィルスです Master ランサムウェア・ウィルスは悪意のあるプログラムで、BTCware ランサムウェア の開発者 により作成されたものです。 もっと見る
6月 12, 2017

unTabs extension ウィルス

ブラウザから unTabs extension をアンインストールすべき理由 UnTabs extension は悪意のあるブラウザ・ヘルパー・オブジェクト で、特に Google Chrome ブラウザをターゲットにすると共に、同意を得ないままそこにインストールされます。 もっと見る
6月 12, 2017

"Microsoft Warning Alert" Tech support scam ウィルス

新たなフィッシング警告 – “Microsoft Warning Alert” メッセージを表示するサイトには近づかないでください! “Microsoft Warning Alert” ウィルスは、あちらこちらのフィッシング・サイトからやってくる詐欺メッセージです。 もっと見る
6月 12, 2017

BeethoveN ランサムウェア・ウィルス

BeethovenN ランサムウェアがユーザーのファイルで「シンフォニー」を奏でる 「BeethovenN ウィルス」とは、PC に感染し暗号化されたファイルに .beethoveN というファイル拡張子を付加するランサムウェアであると定義されています。 もっと見る

情報の更新日 2016-11-24

出典:http://www.2-spyware.com/remote-administration-tools-removal

別の言語で読む

ファイル
ソフト
比較
Facebookのいいね!