今回は、攻撃者が使う遠隔操作ツール「Hidden VNC」を取り上げる。Hidden VNCの特徴は「隠しデスクトップ」を利用すること(詳細は後述)。その恐怖の手口を解説しよう。
遠隔操作ツールとは、遠隔にあるパソコンをネットワーク経由で操作するためのツール。VNC▼やRDP▼が代表的である。
一般的に遠隔操作ツールはサーバーソフトとクライアントソフトで構成される。操作されるパソコン(接続先パソコン)ではサーバーソフト、操作するパソコン(接続元パソコン)ではクライアントソフトを稼働させる。接続すると、接続元パソコンには接続先パソコンの画面が表示され、様々な操作が可能になる。接続元パソコンでキーボードやマウスを操作すると接続先に反映される。
遠隔操作ツールを使えば、自宅のパソコンから会社のパソコンを操作できるので、テレワークにうってつけである。新型コロナウイルス対策として遠隔操作ツールを導入した企業は少なくないだろう。
遠隔操作ツールはとても便利ではあるが、半面危険でもある。遠隔操作が可能になるということは、事実上、接続先パソコンを乗っ取れるためだ。実際、悪用目的で開発された遠隔操作ツールは複数ある。その代表例が冒頭で挙げたHidden VNCである。攻撃者などが集うアンダーグラウンド市場で販売されている(図1上)。サポート付きで売られていることが多い。攻撃者はマルウエアなどを使ってHidden VNCのサーバーソフトを攻撃対象のパソコンにインストールさせる。
Hidden VNCのサーバーソフトを組み込んだマルウエアも存在する。最近よく目にするのはTrickBotとZloader。現在国内で猛威を振るっているマルウエアEmotetによって、TrickBotやZloaderに感染させられる。
Hidden VNCを組み込んだマルウエアも、Hidden VNCと同じようにアンダーグラウンド市場などで販売されている(同下)。筆者が確認した例では、バンキングマルウエア▼にHidden VNCが一機能として組み込まれていた。