【ITニュース解説】AsyncRAT Exploits ConnectWise ScreenConnect to Steal Credentials and Crypto

今回のニュースは、AsyncRATと呼ばれる悪質なプログラムが、ConnectWise ScreenConnectという正規のソフトウェアを悪用し、認証情報や暗号資産を盗み出す新たなサイバー攻撃について報じている。これはシステムエンジニアを目指す上で知っておくべき重要な攻撃手法の一つだ。

まず、悪用された「ConnectWise ScreenConnect」について説明する。これは、ITシステムのリモート監視・管理（RMM）ソフトウェアとして広く利用されているツールだ。企業では、従業員のパソコンやサーバー、ネットワーク機器など、多数のIT資産を効率的に管理する必要がある。ScreenConnectのようなRMMツールは、管理者が遠隔地からこれらの機器の状態を監視したり、ソフトウェアのインストール・アップデートを行ったり、トラブルシューティングを行ったりするために用いられる。つまり、多くの企業にとって業務を円滑に進める上で欠かせない便利なツールなのだ。しかし、その高い権限と広範囲に及ぶアクセス能力ゆえに、一度悪用されると深刻な被害をもたらす危険性をはらんでいる。

今回の攻撃では、まず攻撃者がConnectWise ScreenConnectの脆弱性や設定の不備などを突き、システムへの「リモートアクセス」を確立したところから始まる。リモートアクセスとは、文字通り遠隔地からコンピューターを操作できる状態のことだ。通常は正規の目的で使われるこの機能が、ここでは悪意のある侵入の足がかりとして利用された。

システムへのアクセスに成功した攻撃者は、次に「layered VBScript」を実行した。VBScriptとは、Windows環境で様々な処理を自動化するために使われるスクリプト言語の一種だ。この「layered」（層になった、多段階の）という表現は、攻撃が単一のスクリプトで完結せず、複数の段階を経て実行されることを示している。具体的には、最初のVBScriptが次のVBScriptを呼び出し、それがまた次のスクリプトを呼び出す、といった具合に、段階的に悪質な処理へと誘導していく。この多段階の実行は、セキュリティソフトウェアによる初期段階での検知を回避するために用いられることが多い。

このlayered VBScriptの最終段階で、攻撃は「fleshless loader」と呼ばれるプログラムを起動させる。直訳すると「実体のないローダー」だが、これはどういうことか。一般的なプログラムは、実行時にパソコンのストレージ（HDDやSSD）にファイルとして保存されることが多い。しかし、このfleshless loaderは、ディスクにファイルを書き込むことなく、直接パソコンのメモリ上で悪質なプログラムを読み込み、実行する特徴を持つ。ディスクに痕跡を残さないため、ファイルスキャンを行うアンチウイルスソフトウェアなどから検出されにくいという点で、非常に厄介な手法だ。

このfleshless loaderが最終的にシステムに送り込むのが「AsyncRAT」だ。「RAT」は「Remote Access Trojan（リモートアクセス型トロイの木馬）」の略称である。トロイの木馬とは、一見すると無害な、あるいは役立つプログラムに見せかけてシステムに侵入し、内部で悪意のある活動を行うマルウェアの一種だ。AsyncRATは、その名の通り、攻撃者が遠隔地から被害者のコンピューターを完全に制御できる機能を提供する。

AsyncRATがシステムにインストールされると、攻撃者は被害者のコンピューターに対して様々な不正操作が可能となる。具体的には、キーボード入力を記録する「キーロギング」によってユーザー名やパスワードを盗み出したり、画面のスクリーンショットを撮影したり、特定のファイルを検索して窃取したり、さらにはWebカメラやマイクを乗っ取って盗撮・盗聴を行ったりすることさえ可能になる。今回の攻撃で特に狙われたのは、「認証情報（Credentials）」と「暗号資産（Crypto）」の窃取だ。

認証情報とは、システムやサービスにログインするために必要なユーザー名やパスワード、APIキーなどの情報のことだ。これらが攻撃者の手に渡ると、企業内のファイルサーバー、データベース、クラウドサービス、あるいは個人のオンラインバンキングやSNSアカウントなど、他の様々なシステムへも不正にアクセスされてしまう危険性がある。一つのシステムから得た認証情報を使って、別のシステムへも侵入を試みる「横展開」は、サイバー攻撃において被害を拡大させる常套手段だ。

また、暗号資産の窃取は、直接的な金銭的被害に直結する。ビットコインなどの暗号資産は、ウォレットと呼ばれるソフトウェアやオンラインサービスで管理される。AsyncRATは、ウォレットの秘密鍵や、暗号資産取引所のログイン情報を盗み出すことを目的とする。これらの情報が漏洩すれば、攻撃者は被害者のウォレットから暗号資産を自分の口座へ不正に送金することが可能になり、取り戻すことは非常に困難になる。

システムエンジニアを目指す皆さんにとって、このニュースは多くの示唆を含んでいる。まず、正規のツールであっても、その脆弱性や設定の不備が悪用される可能性があるという事実だ。ConnectWise ScreenConnectのようなRMMツールは、システムの中心的な管理に使われるため、そのセキュリティは極めて重要である。常に最新のセキュリティパッチを適用し、不要な機能は無効化し、最小限の権限で運用するといった基本的な対策が不可欠だ。

さらに、この攻撃は多段階の手法を用いることで検知を回避しようとしている。単一のセキュリティ対策だけでは十分ではないことを意味する。アンチウイルスソフトウェアだけでなく、ネットワークの不審な動きを監視する侵入検知システム（IDS/IPS）、エンドポイント（PCやサーバー）での詳細な挙動を監視・分析するEDR（Endpoint Detection and Response）など、複数のセキュリティ対策を組み合わせた「多層防御」の考え方が重要となる。

また、システムエンジニアは、不審なプロセス実行やネットワーク接続、権限昇格などの異常を早期に発見するための監視体制を構築する必要がある。ログの収集と分析、異常検知アラートの設定は、攻撃の兆候を捉え、被害を最小限に食い止める上で非常に役立つ。

最後に、このような攻撃は技術的な対策だけでなく、人間の要素も大きく関わってくる。従業員に対するセキュリティ意識向上教育は、フィッシングメールや不審なWebサイトへのアクセス、未知のファイルの実行といった初歩的な感染経路を防ぐ上で欠かせない。正規のソフトウェアが悪用される可能性があるという認識を持ち、常に最新のセキュリティ情報を追いかけ、対策を講じ続けることが、システムを守る上で最も重要な役割の一つとなるだろう。