最近の業界レポートによると、正当なRMMおよびリモートアクセスツールを悪用して被害者のシステムに不正アクセスするフィッシングキャンペーンが明らかになりました。Splashtop はこのキャンペーンで攻撃者によってインストールされたツールの一つでしたが、これはSplashtopの脆弱性や侵害ではなく、ソーシャルエンジニアリングによる悪用のケースであることを明確にすることが重要です。
この攻撃では、サイバー犯罪者が受信者を騙してRMMやリモートアクセスソフトウェアをダウンロードさせます。インストールされると、ソフトウェアはハッカーにシステムへの持続的なリモートアクセスを提供し、彼らが認可されたIT管理者のように操作できるようにします。この手法により、攻撃者は従来のマルウェア検出を回避し、正当なネットワーク活動に紛れ込むことができます。
このブログでは、攻撃の仕組み、なぜ正当なリモートアクセスツールが標的にされているのか、そして環境内での悪用を防ぐために何ができるかを説明します。
攻撃の仕組み
このフィッシングキャンペーンは、受信者を騙して攻撃者の管理下にある正当なリモートアクセスツールをインストールさせるための明確な手順に従っています。
1. ��フィッシングメールの配信
攻撃者は、Microsoft OneDriveのファイル共有通知など、信頼できるソースからのように見えるメールを送信します。これらのメッセージは、信頼性を高めるために、侵害されたMicrosoft 365アカウントから送信されます。
2. 悪意のあるファイルのホスティング
メールのリンクは、Discordのコンテンツ配信ネットワーク(CDN)にホストされた悪意のあるMSIインストーラーにターゲットを誘導します。よく知られたサービスにファイルをホストすることで、一部のセキュリティフィルターを回避します。
3. 正当なRMMおよびリモートアクセスツールのインストール
実行されると、インストーラーは静かに以下を展開します:
Splashtop Streamer
Atera Agent
.NET Runtime 8のようなサポートコンポーネント
複数のツールをインストールすることで持続性を確保します。1つのアプリケーションが検出されて削除されても、もう1つがアクセスを提供し続けることができます。
4. リモートアクセスとコントロール
ツールが設置されると、攻撃者は以下のことが可能になります:
システムにリモートでアクセスする
ファイルやデータの移動
認可されたITスタッフのようにコマンドを実行する
攻撃者が正当なリモートアクセスツールを使用する理由
リモートアクセスとRMMソフトウェアは、ITチームがデバイスを安全に管理し、リモートで問題をトラブルシュートし、どこからでも更新を行うのを助けるために設計さ�れています。これらの同じ機能が悪用された場合、攻撃者にとって魅力的になります:
通常の活動に溶け込む – ソフトウェアは信頼されており、多くの環境ですでに存在しているため、そのインストールは即座に疑念を引き起こさないかもしれません。
従来のマルウェア検出を回避 – セキュリティツールは、正当なデジタル署名されたアプリケーションを未知の実行ファイルと同じようにはフラグしないかもしれません。
完全なシステム制御を提供 – 一度インストールされると、これらのツールは認可されたIT管理者と同じレベルのアクセスを提供します。
持続性を確保 – 複数のツールを展開すること(このキャンペーンで見られるように)で、1つが削除されてもアクセスが維持されます。
ソフトウェアの欠陥によるものではない
この種の悪用は、ソフトウェアの脆弱性によるものではありません。代わりに、それは成功したソーシャルエンジニアリングから生じます。攻撃者の最大の武器は、誰かにツールをインストールさせるように説得し、通常のITコントロールを回避することです。
攻撃が成功するためには、いくつかのステップが一致する必要があります:
フィッシングメールがターゲットを悪意のあるリンクをクリックするように説得しました。
被害者は偽装されたインストーラーをダウンロードして実行しました。
ソフトウェアがITの承認なしにインストールされました。
攻撃者は新たにインストールされたソフトウェアに接続しました。
これらのステップのいずれかがブロックされると、攻撃は失敗します。だからこそ、強力なフィッシング防御、インストールコントロール、アカウントセキュリティ対策が不可欠です。
環境内でのSplashtopの悪用を防ぐ
このキャンペーンではソフトウェア自体は悪用されませんでしたが、組織は正当なソフトウェアを攻撃者が悪用するのを非常に困難にするための積極的な手段を講じることができます:
ソフトウェアのインストールを制限し、エンドポイント管理ポリシーを通じて承認された管理者に限定します。
従業員に教育する フィッシングの試みを見分ける方法について、疑わしいファイル共有リンクを含めて。
スタッフにリマインドし、予期しないメールからインストーラーをダウンロードまたは実行しないようにします。たとえ内部ソースからのように見えてもです。
迅速な報告を奨励し、疑わしいメッセージや予期しないリモートアクセスのプロンプトを報告します。
これらの対策を組み合わせることで、フィッシングメールが通過しても、攻撃者がアクセスを得るのを阻む複数の防御策が存在します。
Splashtopがアクセスを保護する方法
Splashtopには、誰がどこからどのような条件で接続できるかを組織が制御できるように設計されたセキュリティ機能が組み込まれています。適切に設定されている場合、これらの��機能により、攻撃者がプラットフォームを悪用することがはるかに困難になります。
主なセキュリティ機能には以下が含まれます:
多要素認証(MFA)により、アクセスを許可する前にユーザーの身元を確認します。
シングルサインオン (SSO) 統合 中央集中的なアクセス制御と企業認証ポリシーの施行のために。
役割ベースのアクセス制御により、管理者は職務に基づいて権限を制限できます。
デバイス認証により、承認されたマシンのみが接続できるようにします。
セッションのログ記録と録画 誰が何をいつアクセスしたかの可視性のために。
詳細な展開コントロールでSplashtop Streamerのインストールを承認されたシステムに制限します。
私たちのセキュリティへのコミットメント
Splashtopはセキュリティを重視しており、たとえ活動が悪用の結果であっても、当社の製品に関与するサイバー脅威の報告を注意深く監視しています。私たちは、顧客やパートナーとの信頼を維持するために透明性が重要であると信じています。
当社のセキュリティおよびエンジニアリングチームは、潜在的な悪用シナリオを継続的に評価し、検出能力を強化し、顧客がSplashtopを安全に設定するのを支援するためのガイダンスを提供しています。新しい脅威インテリジェンスが出現した場合、製品機能、デフォルト設定、または顧客教育資料の変更が必要かどうかを評価します。
Splashtopが承認された管理者によって展開および管理される場合、それはリモートアクセスのための安全で信頼性の高いプラットフォームのままです。組み込みのセキュリティ機能をエンドポイント保護およびユーザー意識トレーニングと組み合わせることで、組織は悪用のリスクを大幅に減少させることができます。
Splashtop製品を探索し、お問い合わせいただき、当社のソリューションとセキュリティについて詳しく学んでください。
