全3075文字
PR

 今回は、攻撃者が使う遠隔操作ツール「Hidden VNC」を取り上げる。Hidden VNCの特徴は「隠しデスクトップ」を利用すること(詳細は後述)。その恐怖の手口を解説しよう。

 遠隔操作ツールとは、遠隔にあるパソコンをネットワーク経由で操作するためのツール。VNCやRDPが代表的である。

 一般的に遠隔操作ツールはサーバーソフトとクライアントソフトで構成される。操作されるパソコン(接続先パソコン)ではサーバーソフト、操作するパソコン(接続元パソコン)ではクライアントソフトを稼働させる。接続すると、接続元パソコンには接続先パソコンの画面が表示され、様々な操作が可能になる。接続元パソコンでキーボードやマウスを操作すると接続先に反映される。

 遠隔操作ツールを使えば、自宅のパソコンから会社のパソコンを操作できるので、テレワークにうってつけである。新型コロナウイルス対策として遠隔操作ツールを導入した企業は少なくないだろう。

 遠隔操作ツールはとても便利ではあるが、半面危険でもある。遠隔操作が可能になるということは、事実上、接続先パソコンを乗っ取れるためだ。実際、悪用目的で開発された遠隔操作ツールは複数ある。その代表例が冒頭で挙げたHidden VNCである。攻撃者などが集うアンダーグラウンド市場で販売されている(図1上)。サポート付きで売られていることが多い。攻撃者はマルウエアなどを使ってHidden VNCのサーバーソフトを攻撃対象のパソコンにインストールさせる。

Hidden VNCの販売ページ
Hidden VNCの販売ページ
[画像のクリックで拡大表示]
バンキングマルウエアの販売ページ
バンキングマルウエアの販売ページ
[画像のクリックで拡大表示]
図1●マルウエアが悪用する遠隔操作ツール「Hidden VNC」
アンダーグラウンド市場で販売されている。バンキングマルウエアに組み込まれていることもある。

 Hidden VNCのサーバーソフトを組み込んだマルウエアも存在する。最近よく目にするのはTrickBotとZloader。現在国内で猛威を振るっているマルウエアEmotetによって、TrickBotやZloaderに感染させられる。

 Hidden VNCを組み込んだマルウエアも、Hidden VNCと同じようにアンダーグラウンド市場などで販売されている(同下)。筆者が確認した例では、バンキングマルウエアにHidden VNCが一機能として組み込まれていた。