RMMツール悪用の増加、企業を脅かすサイバー攻撃の新たな手口

Remote Monitoring & Management (RMM)ソフトウェア、特にAnyDesk、Atera、Splashtopなどの人気ツールは、IT管理者にとって今日不可欠な存在であり、遠隔地からのタスクの効率化とネットワークの整合性の確保を可能にしている。しかし、これらのツールはサイバー犯罪者の目にも留まり、企業ネットワークへの侵入や機密データの窃取に悪用されている。これらの脅威アクターの手口には、巧妙な詐欺や欺瞞的なオンライン広告を通じて従業員を騙すことが含まれる。これにより、従業員は知らず知らずのうちにこれらの犯罪者をシステムに招き入れる可能性がある。存在しない問題を修正するためという名目で、これらのRMMアプリケーションをダウンロードして実行するよう従業員を説得することで、詐欺師は企業のネットワークに無制限のアクセスを得る。

特に、AnyDeskリモートソフトウェアを標的としたフィッシング詐欺が企業ユーザーを狙っており、ThreatDownがこのようなプログラムのサイバー犯罪者による悪用を防ぐ方法を探っている。被害者はまず特定され、その後、彼らの会社内の地位に基づいてフィッシングメールやテキストメッセージ（スミッシング）を通じて連絡される。攻撃者は、典型的なフィッシングページに送るか、マルウェアをダウンロードさせることで彼らを騙すことができる。しかし、彼らは被害者とのやり取りが可能な長期的なゲームをしている。ユーザーは、自分の金融機関を模倣した新しく登録されたウェブサイトに誘導される。サポートを受けるためには、「ライブチャットアプリケーション」と偽装されたリモートデスクトップソフトウェアをダウンロードする必要がある。

ダウンロードされたソフトウェアはマルウェアではないが、例えば、このインスタンスでは、セキュリティ製品によって悪意のあるものとして検出されない古いAnyDesk実行ファイルが使用されている。プログラムを実行すると、サポートを試みている人に提供できるコードが表示される。これにより、攻撃者はマシンを制御し、ユーザーから直接来たように見えるアクションを実行することができる。これが、特定の銀行サイトが顧客がリモートプログラムを実行しているかどうかを検出しようとする理由の一つである。しかし、すべての銀行がこの機能を持っているわけではなく、脅威アクターがこのような検出を回避するケースもある。

市場には多くのRMMツールがあり、詐欺師や犯罪者がこれらを利用する。皮肉なことに、より人気があり、シンプルなものほど最も悪用される傾向にある。AnyDeskは最近、攻撃者がその生産システムを侵害したセキュリティ侵害でニュースになった。ベンダーは以来、コード署名証明書を取り消し、顧客にソフトウェアの更新を促している。RMMベンダーは、ソフトウェアの不正使用を認識しており、一般的な安全対策についてユーザーに定期的にリマインドしている。AnyDeskはまた、ScammerPaybackなどの詐欺対策団体と提携して、コールセンターを閉鎖している。

ThreatDownのApplication Blockを使用してRMMツールをブロックすることで、組織は正当なRMMツールが悪用される傾向に対抗できる。組織は、Nebulaコンソール内の「Monitor」セクションに移動し、「Application Block」を選択し、ThreatDownが提供する「Block RMM」トグルスイッチを有効にするか、特定のニーズに合わせてリストをカスタマイズすることで、これらのRMMツールをネットワーク全体で即座にブロックできる。不要なアプリケーションをすべてブロックし、使用する必要があるものについては、ThreatDownバンドルのEDR/MDRレイヤーが感染の場合に追加の安全網を提供することで、堅牢な防御態勢を採用する。

ITチームが複雑なデプロイメント、散在するツール、過剰なアラートノイズの三重苦に悩まされる中、ThreatDownバンドルは、今日のセキュリティチームのニーズに応える優れた解決策として登場している。ThreatDownバンドルの違いを発見し、サイバー脅威に対する組織の防御を向上させる。無料トライアルにお問い合わせいただき、簡素化されたが堅牢なセキュリティフレームワークの利点を体験してください。

【ニュース解説】

Remote Monitoring & Management (RMM) ソフトウェアは、IT管理者にとって遠隔地からのタスク効率化やネットワーク整合性の確保に不可欠なツールです。しかし、このような便利なツールがサイバー犯罪者によって悪用される事例が増えています。特に、AnyDesk、Atera、Splashtopなどの人気のあるRMMツールが、企業ネットワークへの侵入や機密データの窃取に使われているのです。

サイバー犯罪者は、従業員を騙してこれらのRMMアプリケーションをダウンロードさせ、企業のシステムに侵入します。この手法により、犯罪者は企業のネットワークにアクセスし、機密情報を盗み出すことが可能になります。例えば、AnyDeskを利用したフィッシング詐欺では、被害者がフィッシングメールやテキストメッセージを通じて特定され、偽のサポートを受けるためにリモートデスクトップソフトウェアをダウンロードするよう誘導されます。

このような攻撃は、ダウンロードされるソフトウェア自体がマルウェアではないため、セキュリティ製品によって検出されにくいという特徴があります。攻撃者は、正規のRMMツールを悪用して被害者のマシンを制御し、被害者になりすまして行動することができます。

この問題に対処するため、ThreatDownなどのセキュリティソリューションが提供されています。ThreatDownは、Application Block機能を通じて、組織がRMMツールをブロックし、不正なアクセスを防ぐことを可能にします。これにより、組織は不要なアプリケーションをブロックし、必要なアプリケーションに対しては追加の保護層を提供することができます。

この問題の解決には、IT管理者だけでなく、従業員の意識向上も重要です。RMMツールの利用にあたっては、常に最新のセキュリティ対策を講じ、不審なメールやリンクには注意を払う必要があります。また、RMMベンダーも、ソフトウェアの不正使用を防ぐための安全対策を定期的にユーザーに提供することが求められます。

このようなサイバー攻撃の増加は、企業にとって深刻な脅威となっています。しかし、適切なセキュリティ対策と従業員教育を通じて、これらの脅威から企業を守ることが可能です。サイバーセキュリティは、技術的な対策だけでなく、人的な側面も含めた総合的なアプローチが必要とされています。

from Remote Monitoring & Management software used in phishing attacks.