バックドアとは?発見・除去方法と感染前の対策まとめ

バックドアとは?発見・除去方法と感染前の対策まとめ
  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る

バックドアとは、悪意あるハッカーがセキュリティホールを見つけ侵入し、次回から容易に侵入することができるように設置する裏口のことです。

バックドアを放置してしまっていると、ハッキングから復旧させても、またハッキングが行われてしまいます。

今回は、ユーザーの知らないうちに仕掛けられている「バックドア」について解説していきます。

バックドアとは

バックドア(backdoor)とは、直訳で裏口という意味です。
クラッカー(悪意あるハッカー)がセキュリティホールを見つけ侵入し、次回から容易に侵入できるように仕掛けた正規ではない不正な侵入経路のことを言います。
侵入した際に何も行わないこともあるため、仕掛けられていることに気づかない場合が多く
一度ハッキングを除去しても、再度ハッキングされてしまう理由はバックドアの除去を行なっていないがために、いつでも侵入することができる状態を残してしまっているためです。

バックドアを仕掛けられてしまうと、クラッカーが自由に攻撃できるような状態になってしまうので注意が必要です。

バックドアの手口・感染経路

バックドアの手口・感染経路は以下のようなものがあります。

  • 不正アクセスやログインから侵入
  • 開発途中に設置
  • 脆弱性を利用
  • 悪質なサイトへ訪問してしまった
  • 不明なメールを開封・ダウンロードしてしまった

以下解説していきます。

不正アクセスやログインから侵入

パスワードが厳重でない・ファイアウォールを設定していない場合は、簡単にログインやアクセスすることが可能になってしまいます。

不正にアクセス・ログインできた後は、攻撃者の好きなタイミングでいつでもアクセス・ログインすることができますが、ユーザーに気づかれないようにするためにバックドアを仕掛けます。

そのため、ハッキングを受けていたりバックドアを仕掛けられていることに気づくのが遅れてしまうのです。

開発途中に設置

開発段階で設置したバックドアの取り除き忘れや開発段階で不正に書き加えられてしまった場合です。

開発段階で気づくことができないため、製品にもよりますが拡散される規模も大きくなる可能性があります。
開発段階で不正に加えられた場合であれば、差分確認で気づくことができますが取り除き忘れ事態が大きくならないと気づけない場合があるので、注意が必要です。

脆弱性を利用

アプリやWebサイト・OSなどの脆弱性を利用し、バックドアを仕掛けます。
アプリ・OSのアップデートやセキュリティソフトでWebサイトブロックを行うなどで、対策することが可能です。

しかし、アップデートを行わず放置しているアプリもありますので、更新履歴や最終更新日を確認し、アップデートがないものは利用を控えるようにしましょう。

悪質なサイトへ訪問してしまった

訪問しただけで、ウイルスに感染するものや偽サイトにて個人情報を入力してしまい不正ログインされてしまうなど様々です。
特に、通信が保護されていないサイトで個人的な情報の入力を行う場合は注意が必要です。

最近では、見た目まで全て一緒にしている偽サイトがあります。
見分けるにはURLや通信保護状態で不正か見分けることができる場合がありますが、非常に難解ですので、怪しいと感じた場合には訪問しないようにしましょう。

不明なメールを開封・ファイルをダウンロードしてしまった

不明なメールを開封した時点で実行されるもの、添付ファイル・添付リンクを押すことによってマルウェアに感染し、バックドアを仕掛けられる可能性があります。

最近は企業を装ったメールが配信されています。
見覚えのない、不在メールや紹介メールなどはむやみに開くのは禁物です。

メーラーによっては、迷惑メールに自動的に移動してくれるものもありますので利用してみてはいかがでしょうか。

バックドアの被害事例

バックドアの被害事例は身近なところで起きているので注意が必要です。

Discordにバックドアが仕掛けられる

2019年10月23日現在、Windows版Discordにマルウェアが感染すると悪質なJavaScriptをダウンロードし始めます。
ダウンロードされたスクリプトが実行されると、以下のような情報が攻撃者に送信され、バックドアとして機能するfightdio()関数が実行されるというものです。

  • ユーザートークン
  • ユーザーのタイムゾーン
  • 画面の解像度
  • ローカルIPアドレス
  • WebRTCを介したパブリックなIPアドレス
  • ユーザー名・メールアドレス・電話番号などのユーザー情報
  • 支払い情報
  • ズーム比率
  • ブラウザのユーザーエージェント
  • Discordのバージョン
  • クリップボードに保存された初めの50文字

この関数はリモートサイトに接続し追加のコマンドを受け取り、支払い情報を盗んだりマルウェアをインストールしたりなど、悪意あるアクティビティを実行することができてしまいます。
Discordアプリをアンインストールし、再インストールすることで復旧することが可能です。
しかし、どこから侵入してきているかはまだ不明で、メッセージを使っているのではないかと推測しています。

被害情報はまだ明確でなく現在も起きているため、どこまで広がるか不明確なので注意が必要です。

Discord Turned Into an Info-Stealing Backdoor by New Malware

ビットポイントジャパンから30億円が流出

ビットポイントジャパンから、約30億円の仮想通貨が不正に流出している事件です。

バックドア型のマルウェアが、ウォレットサーバーに仕掛けられたことこによって起こりました。

ウイルスソフトを使用していても、一般的なものでは検出されず、高感度のもので調査したところ侵入を検知したといいます。
「ウォレットサーバにバックドアを仕掛けられた」 仮想通貨流出のビットポイント親会社が発表 一部業務は再開へ

バックドアの発見・除去方法

基本的にバックドアは、管理者や使用者に見つからないように設置されます。
そのため、バックドアの発見は難しく除去するのも遅れてしまうことが多くあります。

ハッキングから復旧したにも関わらず、まだ不正が行われている場合や最近PCの調子がおかしいといった場合は以下のようなことを確認し除去していきましょう。

  • 現在実行しているプロセスを確認する
  • ネットワーク情報を確認する
  • 不正なファイルがないか確認する
  • アクセス制限や削除を行う
  • 使用しているものを最新にする
  • 初期化する

現在実行しているプロセスを確認する

現在自分自身が使用しているプロセスを確認することで、不正なプロセスが動いていないかを検出することができます。

プロセスを確認する方法は、以下のコマンドを各コマンドツールで確認することができます。

アプリやツールを使用していないのにも関わらず、時々プロセスが実行されてしまっている場合は、アプリやツールが原因の可能性もありますので削除や初期化することで対応可能です。

しかし、削除したのにまだ実行されている場合や別のプロセスが実行されている場合は、PCに不明なファイルがないか・他の端末からアクセスされていないかをする必要があります。

ネットワーク情報を確認する

ネットワークの情報を確認することで、不正なアクセスがないか確認することができます。
不明なIPアドレスからのアクセスがないか確認しましょう。

IPアドレスを確認するには

上記のコマンドで、現在使用動いているされているネットワークを確認することができます。
また、オプションをつけることでより詳細に検索することも可能ですので確認してみましょう。

不正なファイルがないか確認する

不正ファイルはdir・findコマンドで割り出すことができます。
ファイル指定で割り出す方法やタイムスタンプを利用して作成した覚えのないファイルを検出することが可能です。

ファイルの権限が変わっていたり、不明なアクセス権が与えられている場合には注意が必要です。
権限や管理者も同時に出力することで、どのような状態でファイルが管理されているかも見ることができるので実行してみましょう。

アクセス制限や削除を行う

不正なアクセスをブロックし、不正なファイルが見つかった場合には削除するようにしましょう。

ブロックや削除を行う前に、どのような経路でアクセスしてきたのか・不正ファイルが作成された経路は確認することが重要です。
ただブロック・削除だけでは再び侵入される可能性がありますので、対策する必要があります。

使用しているアプリ・ツールを最新にする

簡単な方法として、現在使用しているアプリやツールなどアップデート可能なものは最新の状態にしましょう。

最新にすることで、利用しているバージョンで起きている脆弱性を回避することができ、バックドアを駆除することができます。

もし、使用しているアプリ・ツールをアップデートしても解決しない時は別の場所に原因があるかもしれませんので、上記の方法で発見できるか確認してみましょう。

初期化する

アップデートやセキュリティ対策をしてもダメな場合は、PCから初期化することで復旧することができます。

しかし、バックドアを仕掛けられた原因が解決していないため、再度バックドアを仕掛けられてしまうかもしれません。
初期化後は、PCのセキュリティや使用しているツールのセキュリティ対策を行う必要があります。

上記のようなコマンドで発見しようと思っても見つからない場合や専門家でないと除去できない場合があります。
そのような場合は、企業に問い合わせをする・セキュリティ対策を万全にしましょう。

放置すると個人情報等が流出する恐れもあるため、できるだけ早い対応を行うことで被害を最小限にすることできます。

バックドアを仕掛けられないための対策

バックドアを仕掛けられた場合、発見するだけではなく除去することも難しいです。
未然に仕掛けられないような対策を行うことで、難解な状態にならずに済みます。
バックドアを仕掛けられないために、下記の対策を行いましょう。

  • セキュリティソフトの導入
  • 利用しているOS最新の状態にする
  • 信頼できない物には触れない
  • ネットワークセキュリティ対策
  • 定期的にバックアップを取っておく

セキュリティソフトの導入

セキュリティソフトを導入することで、ハッキングを未然に防ぐことができるだけでなくバックドアを仕掛けられる可能性も低くすることができます。
また不正ファイルの検出や有害サイトをブロックしてくれる機能も備わっているため、有効な手段です。
一番手軽な方法ですし、無料のセキュリティソフトも提供されていますので、使用してみてください。

利用しているOSを最新の状態にする

利用しているOSを最新にしましょう。
PCだけでなく、スマートフォンやタブレットも同様です。

どこから侵入され、バックドアを仕掛けられているかわかりません。
同期などしていた場合は、他の端末にも被害が及んでしまう可能性があるため、注意が必要です。

今では、最新版が出た際に通知する機能もありますので、アップデートし忘れがないようにしていきましょう。

信頼できない物には触れない

信頼ができないアプリやWebサイト・メールには触れないようにしましょう。最近では、公式を装ったメールを配信しログインを要求してくるものや不明なファイルを送りつけてくるメールがあります。
また、アプリにバックドアを仕掛けられるといった事例もありますので注意が必要です。

自分自身が怪しいなと思った場合は、開かずに削除する等対応を行いましょう。
セキュリティ関連やIT関連のサイトから、不審なメール等の情報を得ることができますので、不安であれば確認してみましょう。

ネットワークセキュリティ対策

ネットワークは自分自身だけでなく、外部から接続することも可能です。
不正アクセスが行われないよう、アクセス制限やアクセス権限を設定するなど対策を行いましょう。

身近な設定として、ファイアウォールを有効にする・パーミッション設定をしておくことも有効な手段です。

定期的にバックアップを取っておく

もしもハッキングやバックドアを仕掛けられてしまった時に、初期化しなければ削除・復旧できない状態に陥る可能性があります。

初期化した場合に全てデータを失ってしまうので、定期的にバックアップを取っておくことをおすすめします。

もしもの状態に陥ってしまったとしても、バックアップデータがあることで初期化した後も以前のデータを活用することができます。

まとめ

今回はバックドアについて解説していきました。

通常のウイルス対策では、侵入を防げない場合があること・身近なチャットツールでも起きていることがわかっていただけたと思います。

バックドアが仕掛けられたままでは、いつ被害が起こるかわかりませんし、いつ自分が加害者になるかもわかりません。
日頃からセキュリティ対策や基本的なアップデートなどを行うことで、被害にあう可能性を低くすることができます。

バックドアを自力で駆除できない場合は、セキュリティの専門家に一度相談してみてはいかがでしょうか。

『WordPressサイトの保守運用・セキュリティ対策』のご相談はこちら

『WordPressサイトの制作・リニューアル』のご相談はこちら

『WordPressサイトのハッキングからの復旧・不具合の解消』はこちら

土井純也

土井 純也 Twitterアイコン Facebookアイコン

WordPressスペシャリスト・エンジニア
株式会社プレートテクノロジー 取締役
1985年北海道生まれ。200社以上のWordPressサイトの制作を担当し、「wp.support」では一部上場企業を含め、様々なサイトのWordPress保守・セキュリティをサポートしている。

WordPressのプロによる保守サービス

ワードプレスのバージョンアップセキュリティ対策
お悩みではないですか?
「何かが起きる前に!」
WordPressのプロフェッショナル集団が対応します。
サーバー保守にも対応。月額4万円〜
SSL対応、定期バックアップもお任せ下さい。