マルウェア

RAT（リモートアクセス型トロイの木馬）らっと

リモートアクセストロイの木馬バックドアマルウェアC2サーバー標的型攻撃

RATについて教えて

簡単に言うとこんな感じ！

RATは「ねずみ」じゃなくて「遠隔操作マルウェア」のことだよ！一度感染すると、攻撃者がインターネット越しに君のパソコンをまるでその場で操作してるかのように使い放題になっちゃうんだ。怖いでしょ？

RATとは

**RAT（Remote Access Trojan／リモートアクセス型トロイの木馬）とは、感染したコンピューターを攻撃者が遠隔地からひそかに操作できるようにするマルウェア（悪意あるソフトウェア）**の一種です。正規のリモートデスクトップツール（例：TeamViewer）と仕組みは似ていますが、被害者が気づかないうちにインストールされ、悪用されるのが最大の特徴です。

RATが怖いのは、単にファイルを盗むだけでなく、カメラ・マイクの盗聴、キー入力の記録、スクリーンショットの取得、他システムへの侵入踏み台など、感染端末を丸ごと支配できる点です。企業への標的型攻撃（APT攻撃）でも頻繁に使われており、長期間気づかれずに潜伏するのが一般的です。

名前に「トロイの木馬」とある通り、メールの添付ファイルや無害に見えるソフトウェアに偽装して侵入します。一度感染すると**バックドア（裏口）を開き、攻撃者が用意したC2サーバー（Command & Control Server／指令サーバー）**と通信を続けます。

RATの仕組みと主な機能

機能カテゴリ	具体的な内容
遠隔操作	マウス・キーボード操作、ファイル閲覧・削除・転送
情報窃取	キーロガー（入力記録）、スクリーンショット、パスワード盗取
監視	Webカメラ・マイクの起動、画面リアルタイム監視
ネットワーク利用	他端末への横展開、踏み台攻撃（プロキシ化）
永続化	レジストリ登録、スタートアップ登録、定期的な自己再起動
隠蔽	プロセス偽装、セキュリティソフト無効化、ログ削除

感染経路の覚え方「MUDA（ムダなクリックは危険）」

Mail 添付ファイル（Wordマクロ・PDFなど）
URL 悪意あるリンクからのドライブバイダウンロード
Download 不正ソフトウェア・クラックツールへの混入
Ad 悪意ある広告（マルバタイジング）

代表的なRAT

名称	特徴
Gh0st RAT	中国発・APT攻撃でよく使われる老舗RAT
DarkComet	GUI操作が容易で初心者攻撃者にも拡散
njRAT	中東・北アフリカ地域の攻撃で多用
AsyncRAT	オープンソースで現在も活発に悪用
Remcos	正規ツールを装って拡散される商用RAT

歴史と背景

1998年頃 — 「Back Orifice」「NetBus」などの初期RATが登場。当時はハッカーコミュニティの”いたずらツール”的な扱いだった
2003年頃 — 「Sub7」などが出回り、スクリプトキディ（技術の低い攻撃者）にも使われ始める
2010年代前半 — 「Gh0st RAT」を使った中国発の標的型攻撃（Operation Aurora等）が発覚。国家関与型攻撃にRATが使われる事実が世界的に認識される
2013年 — 「DarkComet」の開発者が配布停止を宣言するも、既に世界中に拡散済みで悪用が続く
2013〜2016年 — 日本の防衛・政府機関への標的型攻撃でもRATが多数検出され、国内でも注目が高まる
2020年代 — クラウドサービスやHTTPS通信をC2通信に偽装する手口が主流に。検知がさらに困難になっている

RATとよく似た概念の比較

RATは「リモートコントロール系マルウェア」の代表ですが、似た用語との違いを整理しておきましょう。

用語	目的	被害者の認知	主な機能
RAT	遠隔操作・情報窃取	なし（完全隠蔽）	全機能（カメラ・ファイル・操作）
バックドア	再侵入の維持	なし	通信チャネルの確保のみ
ボット（Bot）	大規模一斉操作	なし	DDoS・スパム送信など集団行動
スパイウェア	情報収集	なし	監視・記録（操作は限定的）
リモートデスクトップ（正規）	遠隔作業支援	あり（本人同意）	画面共有・操作（合法的利用）