Aditya K. Sood、セキュリティエンジニアリング&AI戦略担当副社長、Aryaka
2025年8月18日
読了時間:4分
_Vitaliy_Pakhnyushchyy_Alamy.jpg?width=1280&auto=webp&quality=80&format=jpg&disable=upscale "Rat, looking directly into the camera, on a white background")
出典:Vitaliy Pakhnyushchyy(Alamy Stock Photo経由)
論説
リモートアクセス型トロイの木馬(RAT)は、もはやサイバー犯罪者の単純な道具ではありません。より巧妙に進化し、企業脅威の新たな章を静かに形作っています。最近の亜種であるStilachiRATやSnowDog RATは、破損したDOSやPEヘッダーを利用して目立たずに潜伏し、企業システム上で長期間検知されずに存在し続けています。
一方で、攻撃者はシンプルなWindowsバッチファイルを使ってQuasarのような高度なペイロードを実行し、ネイティブなシステムツールへの暗黙の信頼を悪用しています。このような新たな攻撃手法への進化は、攻撃者が複雑さではなくステルス性によってイノベーションを起こしていることを示しています。日常的なファイル形式や難読化戦術を用いて、従来の防御をすり抜けているのです。
アーキテクチャ上の死角が企業を危険にさらす
現在のRATは、単に技術的な脆弱性を悪用するだけではありません。企業のアーキテクトがセキュリティ環境を構築する際に生まれる死角も利用しています。
私たちの脅威リサーチャーは最近、Remcos RATの調査を行いました。これは攻撃者に感染システムのリモートコントロールを可能にする強力なマルウェアツールです。多くの場合、悪意ある添付ファイル付きのフィッシングメールを通じて拡散します。サイバー犯罪者は以下の目的で利用します:
-
キーストロークや画面操作の記録
-
ログイン情報や機密データの窃取
-
感染システム内での持続的な潜伏
最近の攻撃では、PowerShellベースのローダーを使いRemcosをファイルレスでインストールする手法が見られました。Living-off-the-land(LotL)やインメモリ実行、特にPowerShellを利用した場合、攻撃者は悪意あるコマンドやスクリプトをシステムのメモリ上で直接実行でき、ディスクに書き込まないため、従来のシグネチャベースのアンチウイルスでは検知が非常に困難になります。攻撃者はPowerShellのInvoke-ExpressionやInvoke-WebRequestなどのネイティブ機能を悪用し、リモートサーバーからペイロードやスクリプト全体を難読化した状態でダウンロード・即時実行します。このLotL、インメモリ実行、PowerShellの信頼性の組み合わせにより、回避、持続、横方向移動が容易になり、ネットワーク内で長期間発見されにくくなっています。
攻撃者は急速に人工知能(AI)、特に大規模言語モデル(LLM)を活用し、マルウェア活動の規模と高度化を加速させています。AIは、非常に説得力のあるフィッシング誘導文の生成、ターゲットプロファイル分析による効果的なソーシャルエンジニアリングの作成、攻撃キャンペーンの自動化を可能にします。特にLLMは、マルウェア用のPowerShellコードの作成・改良に使われており、ゼロから悪意あるスクリプトを生成したり、既存マルウェアに高度な難読化技術を追加して検知を困難にしています。この適応力と柔軟性により、技術力の低いサイバー犯罪者でも容易に高度な脅威を生み出せるようになり、より回避性・持続性の高い脅威の開発が加速しています。
持続的なアクセスと静かな被害
これらのステルス性の高いRATは、しばしば数週間にわたり持続的なアクセスを維持し、通常のアラートを発生させることなくデータの流出を可能にします。ある事例では、バッチファイル型RATが複数のリモート拠点に侵入し、コアアプリケーションやIDシステムに横展開して機密情報を静かに収集していました。エンドポイント、ID、ネットワークの各防御が独立して機能する断片化されたセキュリティアーキテクチャでは、攻撃者に前例のない行動の自由と時間を与えてしまいます。堅牢なコンプライアンスプログラムを持つ組織であっても、テレメトリが統合されていなかったり、活用できていなければ脆弱性が残ります。
「ふるまい」が新たな境界線
この脅威の拡大に対抗するには、防御側もセキュリティアプローチのパラダイムシフトが必要です。境界防御や静的ルールに依存するモデルでは、正規ツールを悪用する攻撃者には太刀打ちできません。意図の検知に重点を置いた「ふるまい駆動型」の戦略が不可欠です。そのためには、Unified SASE as a Service、セキュリティ情報・イベント管理(SIEM)、エンドポイント検知・対応(EDR)、ネットワーク分析などの技術を統合し、環境全体の活動を文脈的に把握する必要があります。
どのファイルが実行されているかだけでなく、プロセスがどのようにふるまっているかを監視するツールへの投資が最も推奨されます。異常な権限昇格や不自然なプロセス関係は、しばしば悪意ある活動の兆候です。ネットワークテレメトリやディープパケットインスペクションによる外向きトラフィックの可視性強化は、難読化されたC2通信の特定に役立ちます。
エンドポイント、IDシステム、ネットワーク層のデータを相関させることで、横方向移動や不正アクセスを発見できます。レジストリ変更や持続化メカニズムなど、RATの手法に着目した定期的な脅威ハンティングは、隠れた脅威の発見に有効です。また、システムネイティブバイナリの利用制御を強化し、これらのツールが承認されたワークフロー内でのみ使用されるようにしましょう。
今後の展望
より統合され、ふるまいを意識した検知アプローチは、セキュリティの成果を大きく向上させることができます。滞留時間の短縮、アラート品質の向上、孤立したシステム間のギャップ解消が、全体的なレジリエンス強化につながります。