CyberFix Note
攻撃手法・脅威動向

正規のリモート管理ツール(RMM)が攻撃に悪用される手口と防御

対象の目安: 情報システム担当やSOC運用、一般の利用者 / 実務

ソウ攻撃・脆弱性リサーチ担当
・ 約13分で読めます
正規のリモート管理ツール(RMM)が攻撃に悪用される手口と防御

RMM(Remote Monitoring and Management)は、IT管理者が離れた場所から多数の端末を監視し、設定変更やソフトウェア配布、遠隔操作を一括で行うためのツールです。ScreenConnect(ConnectWise)、AnyDesk、SimpleHelp、TeamViewer、Ateraといった製品が広く使われています。管理に必要な機能がひととおりそろっている道具であるほど、攻撃者にとっても扱いやすい道具になります。正規のベンダーが署名した実行ファイルであるため防御ソフトに危険物として弾かれにくく、遠隔操作やファイル転送、常時接続の維持までを標準機能で実現できるからです。攻撃者は新しいマルウェアを一から作る代わりに、こうした正規ツールをそのまま使う方向へ動いています。

この記事では、RMMが悪用される二つの主要な経路を分けて整理します。一つは、何らかの方法で侵入したあとに遠隔操作と居座り(永続化)の手段としてRMMを持ち込む経路です。もう一つは、偽のサポートを装って被害者自身にRMMを導入させる経路です。攻撃の実行手順ではなく、なぜ検知されにくいのか、どこを見れば未許可の導入に気づけるのかを中心に説明します。

悪用の経路と対策の早見表

経路どう悪用されるか主な対策
侵入後の遠隔操作と永続化侵入後に正規RMMを持ち込み、遠隔操作やファイル転送、常時接続の維持に使う。ランサムウェアなど後続の展開の足場にもなる許可したRMM以外の実行と通信をブロックし、ログで異常な起動を監視する
サポート詐欺での導入偽の警告や電話で利用者を誘導し、利用者自身にRMMを導入させて操作を許可させる電話しない周知、業務端末での無断導入の禁止、遠隔操作の許可経路の限定
導入済みRMMの設定悪用弱いパスワードや広いアクセス許可を突いて既存のRMMへ接続する多要素認証、アクセス制御リスト、最小権限、退職者のアクセス失効

RMMが攻撃者に好まれる理由

RMMが標的にされる背景には、正規ツールであることそのものが検知を難しくするという事情があります。防御ソフトは未知の不審なプログラムを警戒しますが、正規のベンダーが署名して広く使われているRMMは、危険物として自動で削除される対象になりにくいです。管理者が正規に使っているものと区別がつかないため、動いていること自体は異常として扱われにくいわけです。

CISAとNSA、MS-ISACが2023年1月に公表した共同勧告AA23-025Aは、この構造を具体的に指摘しています。同勧告によると、2022年10月に確認された攻撃では、フィッシングメールを起点に、勧告がScreenConnectと記すRMM(公表時点の製品名はConnectWise Control、現在はConnectWise ScreenConnect)とAnyDeskがダウンロードされ、被害者の銀行口座から金銭をだまし取る返金詐欺に悪用されました。攻撃者はこれらを管理者権限を必要としないポータブルな実行ファイルとして配布しており、同勧告は、管理者権限が不要なため、同じソフトのインストールを監査したりブロックしたりする対策が講じられていても、未承認のソフトが実行され得ると説明しています。さらに、ローカルユーザー権限のポータブル実行ファイルから、社内の他の脆弱な端末を狙ったり、ローカルユーザーのサービスとして長期の永続的なアクセスを確立したりできると述べています。

正規ツールを持ち込んで悪用するこの手口は、環境にある正規の道具で目的を達する考え方と重なります。攻撃者から見れば、開発の手間がかからず、防御をすり抜けやすく、しかも遠隔操作に必要な機能が最初からそろっているという利点があります。

侵入後の遠隔操作と永続化に使う経路

一つ目の経路は、フィッシングや脆弱性の悪用などで最初の足場を得たあと、遠隔操作と居座りの手段としてRMMを持ち込むものです。Proofpointは、正規のRMMをメール攻撃の初期段階のペイロードとして使う攻撃者が増えていると報告しており、ScreenConnectやNetSupport、Atera、TeamViewer、AnyDeskといったツール名を挙げています。同社は、こうしたRMMが情報収集や金銭の窃取、ネットワーク内での横方向の移動、そしてランサムウェアを含む後続のマルウェア導入の足場に使われ得ると説明しています。

RMMが持ち込まれると、攻撃者は正規の管理通信に紛れて遠隔操作を続けられます。二つ目のRMMを予備の通信経路として追加で導入し、一方が遮断されても接続を保つ構成が観測されることもあります。Sophosは、ConnectWise ScreenConnectの脆弱性(CVE-2024-1709とCVE-2024-1708)を悪用した攻撃で、AsyncRATや情報窃取型マルウェア、ランサムウェアなど複数の不正なツールが配布された事例を報告しています。そのランサムウェアは2022年に漏えいしたLockBit 3のビルダーで作られた亜種で、LockBit本体の攻撃とは限らないと同社は述べています。未修正のサーバー製品の脆弱性を突かれると、そこから複数のツールが持ち込まれる流れです。侵入後にRMMが足場として使われると、その先で情報の持ち出しやランサムウェアの展開へつながる恐れがあります。

あわせて読みたい

ランサムウェアの感染経路と被害最小化。初期侵入を断ち、復旧できる備えをつくる

インターネットに面したRMMのサーバー製品そのものの脆弱性が悪用され、初期侵入の入口になることもあります。境界に置く管理製品の弱点が狙われる構図は、他の境界機器と共通します。

あわせて読みたい

境界に置くエッジ機器の脆弱性が侵入口として狙われる理由

サポート詐欺で被害者に導入させる経路

二つ目の経路は、偽のサポートを装って利用者自身にRMMを導入させ、遠隔操作を許可させるものです。IPAは、偽のウイルス警告や警告音でパソコンの利用者を焦らせ、画面に表示した電話番号へ電話させて、サポートと称して遠隔操作ソフトを入れさせる手口に注意を呼びかけています。この経路では、攻撃者がシステムの弱点を突くのではなく、利用者が正規の手順で自分でツールを入れて接続を許可してしまう点が特徴です。技術的な防御をすり抜けて、人の判断を突破口にします。

前掲のCISA勧告が扱った2022年の事例も、フィッシングを起点に被害者側でRMMが動く形の詐欺でした。偽の警告への対処や、電話や遠隔操作をさせてしまった場合の初動については、別記事で具体的な手順を整理しています。

あわせて読みたい

偽のウイルス警告で電話させるサポート詐欺の手口と対処

組織の観点では、業務端末に利用者が自由にRMMを入れられる状態を放置しないことが、この経路への基本的な備えになります。正規のIT部門が使うツールを一つに定め、それ以外の遠隔操作ソフトは導入も実行もできないようにしておけば、詐欺で新たなRMMを入れさせられる余地が狭まります。

未許可のRMMを見分ける方法

検知の出発点は、自組織で正規に許可したRMMがどれかをはっきり決めることです。許可した一つを基準にすれば、それ以外のRMMのプロセスや通信は、その存在自体が調査に値する手がかりになります。CISA勧告も、ネットワーク上で使われているRMMを棚卸しして把握し、ポータブルな実行ファイルとして動くプログラムの実行をログで確認するよう推奨しています。

未許可のRMMを洗い出す進め方

  1. 1

    許可するRMMを一つに定める

    業務で使う正規のRMMを明確にし、製品名と正規の通信先を台帳化します。
  2. 2

    端末上のプロセスを棚卸しする

    各端末で動いている遠隔操作ソフトを洗い出し、許可した一つ以外がないかを確認します。
  3. 3

    外部通信を突き合わせる

    RMMが使う既知の接続先への通信のうち、許可した製品以外へ向かうものを異常として扱います。
  4. 4

    許可リストで実行を絞る

    許可した実行ファイルだけを動かせるようにし、その他のRMMは実行も導入もできない状態にします。
  5. 5

    起動ログを継続監視する

    ポータブル実行ファイルの起動やインストールの記録を残し、想定外の起動を検知できるようにします。

RMMは正規ツールなので、単に動いているという事実だけでは善悪を判定できません。許可した製品かどうか、正規の管理者が意図した接続かどうかという文脈と突き合わせて初めて、未許可の導入を切り分けられます。検知の仕組みを試すときは、自分が管理を許された環境だけで行い、他者のシステムへの無断アクセスは不正アクセス禁止法などに触れうる点に留意してください。

利用者と組織の防御

導入済みのRMMそのものを固く守ることも欠かせません。弱いパスワードや広すぎるアクセス許可が残っていると、正規のRMMが攻撃者の入口になり得るからです。AnyDeskは公式のセキュリティガイドで、無人アクセスに多要素認証を有効化すること、アクセス制御リスト(ACL)で許可したIDやエイリアスだけに接続を限定すること、共有された可能性のある無人アクセス用パスワードを定期的に更新すること、退職者のクライアント登録の削除とアクセスの失効を行うことを挙げています。あわせて、役割ごとに業務へ必要な最小限の権限だけを与える最小権限の原則に沿って、広い権限の共有アカウントを避けることも守りを固めます。

RMMを守るための実務手順

  1. 1

    多要素認証を有効化する

    無人アクセスや管理コンソールへのログインに多要素認証を設定し、パスワードだけでの接続を避けます。
  2. 2

    接続元を許可リストで限定する

    アクセス制御リストで、許可したIDや端末からの接続だけを通します。
  3. 3

    最小権限を徹底する

    利用者ごとに必要最小限の権限だけを付与し、広い権限の共有アカウントを避けます。
  4. 4

    更新を適用し続ける

    RMMのサーバーとクライアントを供給元の最新版に保ち、公開された脆弱性を早期に塞ぎます。
  5. 5

    退職や異動でアクセスを失効する

    担当を外れた利用者のアクセスを速やかに取り消し、共有パスワードを変更します。

一般の利用者にとっては、身に覚えのない相手からの依頼で遠隔操作ソフトを入れないことが最も効きます。電話やメッセージで急かされてツールを導入し接続を許可する流れは、サポート詐欺の典型です。信頼できる相手にだけ遠隔アクセスを許可し、遠隔操作の接続用コードを他人と共有せず、心当たりのない電話や警告表示に応じないことが、この経路への基本的な備えになります。

まとめ

RMMは、正規の道具であるがゆえに検知されにくく、遠隔操作から永続化までを一通りこなせる点で攻撃者に選ばれています。侵入後の足場として持ち込まれる経路と、サポート詐欺で利用者に導入させる経路の二つを分けて理解すると、それぞれに効く対策が見えてきます。技術的な検知は「許可した一つ以外のRMMは疑う」という基準づくりから始まり、導入済みのRMMは多要素認証とアクセス制御、最小権限で固めます。

RMM悪用に備える確認項目

  • 業務で許可するRMMを一つに定め、製品名と正規の通信先を台帳化しているか
  • 許可したRMM以外のプロセスや外部通信を、異常として洗い出せる状態にあるか
  • 許可リストで、承認したRMM以外の実行と導入を制限しているか
  • RMMの無人アクセスに多要素認証とアクセス制御リストを設定しているか
  • 利用者へ、身に覚えのない依頼で遠隔操作ソフトを入れないことを周知しているか
  • 退職や異動に合わせてアクセスを失効し、共有パスワードを更新しているか

2022年10月にフィッシングを起点にScreenConnectとAnyDeskが返金詐欺に悪用されたこと、管理者権限が不要なポータブル実行形式が既存のソフト制御を迂回し永続化に使われ得ること、RMMの棚卸しとログ確認の推奨は、CISA/NSA/MS-ISACの共同勧告AA23-025Aに基づきます。

正規のRMMがメール攻撃の初期段階のペイロードとして使われる傾向、および情報収集や金銭窃取、横方向の移動、後続のランサムウェア導入の足場になり得るとの整理は、Proofpointの報告に基づきます。

ConnectWise ScreenConnectの脆弱性(CVE-2024-1709とCVE-2024-1708)の悪用でAsyncRATや情報窃取型マルウェア、漏えいしたLockBit 3ビルダー製のランサムウェアなどが配布された事例は、Sophosの報告に基づきます。

無人アクセスの多要素認証、アクセス制御リストによる接続元の限定、無人アクセス用パスワードの更新、退職者のアクセス失効の推奨は、AnyDeskの公式ガイドに基づきます。

偽のウイルス警告で電話させ遠隔操作ソフトを導入させるサポート詐欺への注意喚起は、IPAの特集ページに基づきます。

出典・参考

この記事をシェア

関連する記事

攻撃手法・脅威動向

偽のウイルス警告で電話させるサポート詐欺の手口と対処

パソコンに偽のウイルス警告や警告音を表示し、利用者を焦らせて偽のサポート番号へ電話させ、遠隔操作で金銭をだまし取るサポート詐欺の仕組みを解説します。警告は多くがブラウザの表示で実際の感染ではない点と、電話しない、画面の閉じ方、すでに操作させた場合の初動を一次情報から整理します。