Table of Contents

デバイス乗っ取り攻撃から顧客を保護する

顧客離脱につながる摩擦を防ぐ、二要素認証の使用による認証の強化、リモートワーカーのセキュリティ保護など、信頼できるユーザーデバイスを検出する機能は、今日の企業にとって必要な機能です。しかし、ユーザーのデバイスに結び付けられるアカウントが増えるにつれて、デバイス乗っ取りと呼ばれるタイプの攻撃にとって、アカウントはますます魅力的な標的になります。正規ユーザーの信頼されたデバイスをハッキングすることで、詐欺師は被害者の王国への鍵を手に入れることができるため、デバイス乗っ取り攻撃を理解し、防御することが企業にとってますます重要になっています。このブログ記事では、デバイス乗っ取り攻撃とは何か、その脅威が高まっている理由、その実行方法、そして最も重要な、企業がこれらの攻撃を検出して防止する方法について詳しく説明します。

デバイスの乗っ取りとは何ですか?

デバイス乗っ取りは、 ハッカー 被害者のデバイスにリモートアクセスし、 通常は、リモート デスクトップ接続 (RDC) を悪用します。攻撃者はユーザーのデバイスをハッキングすることで、被害者のオンライン アカウント (電子メールや銀行口座など) に不正にアクセスし、アカウントの乗っ取りやその他の悪意のある活動を実行します。攻撃者は、正当なユーザーの「本当の」アイデンティティの背後に隠れることで、被害者の良い評判を利用して、既知のデバイスや IP などのリスクと信頼性の検出の共通要素に依存する詐欺防止システムを回避できます。これにより、攻撃者はユーザーとして認証しなくても、ユーザーのデータを盗んだり、ユーザーをアカウントから締め出したり、その他の攻撃を実行したりできるようになります。デバイスの乗っ取りにより、攻撃者は多要素認証やパスワードレス認証、さらにはユーザージャーニー全体を通じて不正行為を軽減するように設計された強化された保護を回避することさえ可能になります。

高まる脅威

過去数年間、より迅速でカスタマイズされた IT サポートによって顧客サービスを向上させる方法として、リモート デスクトップ サービスの利用に対する需要が高まっています。しかし、こうしたツールの普及により、詐欺師が悪用できる新たな攻撃ベクトルも生まれ、デバイス乗っ取り攻撃が増加しています。米国FBIインターネット犯罪苦情センター(IC3)が公開した公共広告で、FBIは企業に対し、RDPエンドポイントをオンライン上にさらしておくことの危険性について警告している。 ZDNET で報じられたとおり過去 1 年間で、ダーク ウェブ上でデバイス乗っ取り市場も出現し、詐欺師が侵害されたデバイスを暗号通貨で取引できるようになりました。

デバイスの乗っ取りはどのように発生しますか?

デバイス乗っ取り攻撃を実行するために使用される最も一般的な 2 つの戦術は、ソーシャル エンジニアリングを使用してユーザーに自発的に RDC をインストールさせることと、ユーザーに気付かれずにリモート アクセス トロイの木馬 (RAT) と呼ばれる種類のマルウェアをインストールすることです。

ソーシャルエンジニアリングによるリモートアクセスプログラムの悪用

企業が RDC を使用して顧客や従業員にリモートで技術サポートを提供できるのと同様に、攻撃者はこれらの正当なツールを使用してユーザーを騙し、デバイスの制御権を握らせることができます。これは多くの場合、ソーシャル エンジニアリングを通じて行われます。ソーシャル エンジニアリングとは、詐欺師がユーザーの信頼を得て、セキュリティ プロトコルを回避するために協力を求める攻撃の一種です。攻撃者は通常、次のような手法を使用して、信頼できる情報源を装ってユーザーの信頼を獲得します。

  • フィッシング: 悪意のあるリンクをクリックするようにユーザーを誘導する電子メールを送信したり、広告を表示したりすること
  • ビッシング:電話をかけたり、ボイスメールを残したりすることで、次のようなツールが利用される可能性があります。 電話のなりすまし
  • スミッシング:SMSテキストメッセージを通じてユーザーに連絡する

例えば、フィッシングの場合、 アタッカー テクニカルサポートを装って被害者に電話をかけ、正規のソフトウェアをダウンロードするよう説得する可能性がある。 リモートアクセスプログラム、例: チームビューアエニーデスクLogMeIn 、または GoToAssist は、ヘルプデスクのサポートとトラブルシューティング用に設計されています。プログラムがインストールされると、攻撃者は認証後にユーザーに代わって行動し、さまざまな不正行為を実行できるようになります。アカウントへのアクセスに加えて、デバイスの乗っ取りは次のような追加のボーナスを提供します。 攻撃者: 被害者のデバイスに保存されているすべてのファイルにアクセスできるようになります。これには、スキャンされた ID カード、文書、写真、ビデオが含まれる可能性があり、これらが個人情報の盗難に利用される可能性があります。

リモートアクセス型トロイの木馬によるデバイス感染

攻撃者がエンドユーザーのデバイスを制御するもう 1 つの方法は、リモート アクセス トロイの木馬 (RAT) と呼ばれる種類のマルウェアを使用することです。感染したデスクトップまたはモバイル デバイス上で RAT が実行されると、攻撃者はコマンドを送信し、応答としてデータを受信できるようになります。RDC とは異なり、RAT は正規のリモート アクセス プログラムではなく、ユーザーの知らないうちにインストールされます。このマルウェアは、特別に細工された電子メールの添付ファイル、Office ツールのマクロ、Web リンク、ダウンロード パッケージ、またはトレント ファイルを通じて被害者のデバイスに侵入します。攻撃者は、正規のアプリケーションを装って被害者を騙し、RAT をインストールさせたり、目的のデバイスに一時的に物理的にアクセスして自分でインストールしたりすることがあります。

デバイスの乗っ取り検出方法

デバイスの乗っ取りは企業にとって大きな脅威となりますが、検出可能です。以下の手法を使用すると、詐欺アナリストやセキュリティ チームは、ユーザーのデバイスで実行されたアクションがユーザーによって実行されたのか、リモートの (潜在的に悪意のある) アクターによって実行されたのかを判断できます。

移動頻度

リモート デスクトップ プロトコル (RDP) は通常、ユーザー データグラム プロトコル (UDP) に基づいており、ネットワーク経由でデータグラムまたはパケットをコネクションレスで信頼性が低く、オーバーヘッドの少ない方法で送信します。その結果、リモート アクセス プログラムまたは RAT を使用してアクセスが行われたかどうかに関係なく、パケットは接続中に破棄され、失われます。このため、RDP 経由でリモートで実行されるプロセスでは、マウスやタッチスクリーンの動きが少なくなります。この仮説に基づいて、Transmit Security Research Labs は、これらの移動の頻度に基づいてデバイスの乗っ取りを検出する技術を開発しました。調査中、通常のローカル デスクトップと比較して、RDP のイベント レートがほぼ 1 桁低いことが確認されました。下の画像では、ローカル デスクトップのマウスの移動頻度を確認できます。

ローカルデスクトップのマウス移動頻度を示す GIF

ここでは、RDP のマウス移動頻度を確認できます。

リモート デスクトップ プロトコルのマウス移動頻度

この画像はタッチの動きを示しています 通常のモバイルデバイスの周波数:

ローカルモバイルデバイスのタッチスクリーン移動頻度

そして、これがタッチです 動き モバイルRDCの周波数:

モバイルデバイス上のRDCのタッチ動作頻度

この知識を活用して、マウスとタッチの動きの頻度を使用して RDC を識別できる検出メカニズムを開発しました。

リモートデスクトップポート

インターネット プロトコル (IP) では、ポートはネットワーク通信を容易にするために IP アドレスと組み合わせて使用される、ネットワーク トラフィック用の番号付きアドレスです。デフォルトでは、サービスの種類によって使用するポートが異なります。リモート デスクトップ接続によく使用されるポートは 3389 と 5938 です。ポート マッピングは、ネットワーク トラフィックを 1 つの IP アドレスとポートの組み合わせから別の組み合わせにリダイレクトするプロセスであり、使用されているオープン ポートを識別するために使用できる情報を提供します。これにより、RDP トラフィックが特定のデバイスまたはサーバーに送信されているかどうかを判断することで、アクションがリモート デスクトップ接続を使用して実行されたかどうかを識別することができます。ただし、この情報だけでは、巧妙な攻撃者を捕まえるのに十分ではない可能性があります。ポート マッピングを認識している詐欺師は、検出を回避するために、リモート デスクトップ接続に一般的なポートを使用しないようにする可能性があります。こうした回避策に対処するために、疑わしいオープン ポートを識別するポート レピュテーション メカニズムを維持しています。これには、ネットワーク分析による開いているポートのスキャンと検出、ポート レピュテーション マップの構築、RDP 攻撃をリアルタイムで検出するためのマップの継続的な評価が含まれます。

継続的な研究と緩和サービス

デバイスの乗っ取りが増加するにつれ、かつては主要な攻撃ベクトルであったものが一般的となり、定期的に使用されるようになりました。これらの攻撃を軽減するために、企業はユーザーの行動を分析して移動頻度を判断したり、リモート デスクトップ ポートを特定したりするなど、高度な検出技術を活用する必要があります。Transmit セキュリティ リサーチ ラボでは、社内の研究チームが、デバイス乗っ取り攻撃を検出するためのこれらのメカニズムやその他の最先端のメカニズムの開発に取り組んでおり、今後も新しい手法をマッピングし、追加のプラットフォームをカバーするための研究を継続していきます。これらの方法を当社の検出および対応サービスに実装することで、デバイスの乗っ取りに対する保護を継続的に強化することができます。検出と対応の詳細については、 サービス概要 または ケーススタディを読む 米国の大手銀行が当社のサービスを活用して、自社のアプリケーション内のリスク、信頼、詐欺、ボット、動作を検出し、1300% の投資収益率を達成した方法についてご紹介します。

Authors