バックドア ばっくどあ
不正アクセストロイの木馬リモートアクセスマルウェア侵入経路情報漏洩
バックドアについて教えて
簡単に言うとこんな感じ!
バックドアは「こっそり作られた裏口」のことだよ!正面玄関(正規のログイン)を使わずに、攻撃者がいつでもこっそり忍び込めるように仕掛けておく隠し通路なんだ。気づかないうちに家の鍵を複製されてる、みたいなこわい話だよ!
バックドアとは
バックドア(Backdoor) とは、攻撃者がシステムやネットワークに正規の認証手順を踏まずに侵入できるよう、こっそりと設置された「裏口」のことです。通常のログイン画面や認証プロセスを迂回して、外部から自由にアクセスできる状態を作り出します。
バックドアはマルウェア(悪意あるソフトウェア)の一種として分類されることが多いですが、もともとはソフトウェア開発者がテストやメンテナンス目的で意図的に組み込む「管理用の裏口」として存在していたものです。問題なのは、悪意ある第三者によって密かに仕込まれるケースや、開発者が作ったまま削除し忘れたものが攻撃者に利用されるケースです。
実務上の深刻な点は、バックドアは長期間気づかれないまま放置されることが多いという点です。攻撃者は侵入後にバックドアを設置し、その後はいつでも自由に出入りしながら情報を盗み続けます。発覚した時にはすでに大量のデータが流出していた、というケースが後を絶ちません。
バックドアの種類と仕組み
バックドアにはいくつかの種類があり、設置方法や目的によって分類できます。
| 種類 | 概要 | 典型的な手口 |
|---|---|---|
| ソフトウェア型 | OSやアプリに埋め込まれたプログラム | マルウェア感染・改ざん |
| ハードウェア型 | 機器のファームウェアや回路に組み込む | サプライチェーン攻撃 |
| Web Shell型 | Webサーバーに設置するスクリプト | 脆弱性を突いたアップロード |
| アカウント型 | 隠し管理者アカウントの作成 | 侵入後に不正アカウント追加 |
| 設定ミス型 | 誤ったシステム設定を悪用 | デフォルトパスワードの放置 |
バックドアが動く流れ
バックドアが機能するまでの典型的な流れはこうです。
① 攻撃者がなんらかの手段でシステムに侵入
(フィッシング・脆弱性悪用・マルウェア等)
↓
② バックドアプログラムをシステムに設置
(常駐プロセス・スタートアップ登録・Web Shellなど)
↓
③ 一度ログアウト・切断
↓
④ いつでも認証なしに再侵入可能な状態が完成
↓
⑤ 定期的に接続して情報収集・遠隔操作を継続よく使われる潜伏テクニック
攻撃者はバックドアを見つかりにくくするために様々な工夫をします。
- プロセス名の偽装:正規のシステムプロセス名(
svchost.exeなど)に似せた名前を使う - 暗号化通信:C2サーバー(攻撃者の指令サーバー)との通信をHTTPSで偽装
- ファイルレス化:ディスクにファイルを書かずメモリ上だけで動作させる
- ルートキット:OSレベルで自身の存在を隠す
歴史と背景
- 1960〜70年代:プログラマーがデバッグ・メンテナンス目的で意図的にバックドアを作り始める。この時点では「悪意」はなかった
- 1983年:コンピュータサイエンティストのケン・トンプソンが「Reflections on Trusting Trust」という論文でコンパイラレベルのバックドアの危険性を指摘。Unixの設計者が自ら警鐘を鳴らした
- 1990年代:インターネット普及に伴い、Sub7やBack Orificeなどのリモートアクセス型バックドアツールが出回り始める
- 2000年代:金銭目的のサイバー犯罪が増加。バックドアはボットネット構築のための必須ツールに
- 2013年:スノーデン事件により、NSAが一部のIT製品にバックドアを仕込んでいた可能性が浮上。国家レベルの問題として認知される
- 2020年:SolarWinds事件が発覚。正規のソフトウェアアップデートにバックドアが混入し、米政府機関を含む多数の組織が被害を受ける。サプライチェーン攻撃の代表例に
バックドアと関連する攻撃手法の比較
バックドアは単体で使われることは少なく、他の攻撃手法と組み合わせて使われます。
トロイの木馬との違い
バックドアと混同されやすいのがトロイの木馬です。
| 比較項目 | バックドア | トロイの木馬 |
|---|---|---|
| 定義 | 不正な裏口そのもの | 無害に見せかけて潜入するマルウェア全般 |
| 関係 | トロイの木馬に含まれることが多い | バックドアを運ぶ「運び屋」になることも |
| 目的 | 継続的な侵入経路の確保 | 情報窃取・破壊など幅広い |
| 単独性 | 単独でも存在する | 単独で活動する |
トロイの木馬がバックドアを「運んでくる配達員」なら、バックドアは「配達された合鍵」と考えると分かりやすいです。
バックドアへの対策
| 対策 | 具体的な内容 |
|---|---|
| ソフトウェア管理 | 使用するソフトのバージョンを常に最新に保つ |
| 通信監視 | 不審な外部通信を検知するEDR・NDRツールの導入 |
| アカウント管理 | 不審な管理者アカウントが増えていないか定期確認 |
| ゼロトラスト | 内部通信も信頼せず常に認証・検証する設計 |
| サプライチェーン確認 | 導入するソフト・機器の信頼性を調達前に確認 |
関連する規格・RFC
| 規格・RFC番号 | 内容 |
|---|---|
| RFC 4949 | インターネットセキュリティ用語集。バックドアを含む各種攻撃手法の定義を収録 |
関連用語
- マルウェア — 悪意あるソフトウェアの総称。バックドアはその一種
- トロイの木馬 — 無害なソフトに偽装してバックドアを運び込むマルウェア
- ルートキット — バックドアの存在をOSレベルで隠蔽するツール
- C2サーバー — 攻撃者がバックドアを通じてシステムを制御するための指令サーバー
- サプライチェーン攻撃 — 正規のソフトウェア配布経路を通じてバックドアを混入する高度な手口
- ゼロトラスト — 内部・外部を問わずすべての通信を疑うセキュリティ設計思想
- フィッシング — バックドア設置の最初の侵入口としてよく使われる攻撃手法
- EDR — エンドポイント上のバックドア活動を検知・対応するセキュリティツール