Etay Maorは、先進的なクラウドネイティブサイバーセキュリティ技術のリーダーであるCato Networksのチーフセキュリティストラテジストである。
リモート監視・管理(RMM)ソフトウェアは長年、企業IT運用の柱として、管理者が分散型ネットワーク全体でシステムを円滑に運用しながら、リモートでシステムを監視・サービスすることをサポートしてきた。RMMの利用は、従業員がリモートワークを余儀なくされた新型コロナウイルスのパンデミック時に大幅に増加した。しかし不吉な展開として、ランサムウェアグループがRMMプラットフォームを利用して従来のセキュリティ対策をバイパスし、ネットワークに侵入、持続的アクセスを確立し、機密データを抜き取り始めた。
2023年、米国は正規のRMMソフトウェアの悪用増加についてネットワーク防御担当者に警告するサイバーセキュリティ勧告を発表した。この勧告では、脅威アクターがAnyDesk、ScreenConnect、SimpleHelp、PDQ Deployなどの人気RMMツールを使用して、許可されたIT活動と隠密な悪意ある活動の境界を曖昧にする高度な攻撃を仕掛けている詳細が説明されていた。
RMMの二面性というジレンマ
RMMツールは、構成管理やパフォーマンス監視などの大規模タスクを簡素化するため、ITグループやマネージドサービスプロバイダー(MSP)にとって不可欠である。リモートスクリプト実行、ファイル転送、プロセス管理などの組み込み機能は、リモートアクセストロイの木馬(RAT)のそれと類似している。しかしRATとは異なり、RMMプラットフォームは企業環境で本質的に信頼されているため、悪用された場合は特に危険となる。
ランサムウェア攻撃者はカスタムマルウェアローダーの使用から離れ、既製のRMMエージェントを選択する傾向が強まっている。これらのツールは通常、デジタル署名され、ポリシーで許可され、暗号化されたピアツーピア通信をサポートしている。これにより攻撃者はエンドポイント検知・対応(EDR)システムやファイアウォールをバイパスしながら、信頼された更新チャネルを悪用してトロイの木馬化されたパッケージを展開できる。
実例:パターンの出現
2024年第3四半期から2025年第1四半期にかけて、3つの主要なランサムウェアキャンペーンがRMMツールの悪用方法を示した。いずれの事例でも、攻撃者は複数のRMMツールを同時に使用して脅威を多様化し、検知リスクを低減していた。
• 2024年第3四半期、Hunters Internationalランサムウェアグループは、攻撃を開始する前に1カ月以上、英国の製造業者へのアクセスを維持していた。この長期間の潜伏期間は、信頼されたRMMエージェントがエンドポイント検知を回避しながらデータを窃取するために悪用される可能性を示している。
• 2024年第4四半期、Medusaランサムウェアグループが米国の建設会社を標的にした。悪意のあるScreenConnectインストーラーによる初期アクセスの後、攻撃者はスキャンとソフトウェア展開のためにPDQ Deployを使用した。これらのツールが事前にインストールされていたのか、攻撃者によって展開されたのかは不明であり、正当なIT活動と侵入を区別することの難しさを浮き彫りにしている。
• 2025年第1四半期、身元不明のグループが公共料金請求プロバイダーを攻撃した。初期アクセスの後、パッチが適用されていないSimpleHelp RMMのバージョンが持続的アクセスを維持するために悪用された。
攻撃者がRMMの組み込み機能を悪用する方法
攻撃の調査によると、ランサムウェアギャングは以下のRMM機能を継続的に悪用していることが明らかになっている:
• リモート実行とスクリプト展開:ペイロードの実行、ランサムウェアコンポーネントの展開、持続性タスクのスケジューリング
• ステルスアクセス:サイレントまたは隠蔽されたセッションにより、インターフェイスプロンプトを表示せずに密かな監視と制御が可能
• 暗号化されたピアツーピアチャネル:証明書ピン留めされたTLSチャネルがSSL検査とパケット分析のブロックを回避
• 特権昇格とエージェントレスアクセス:エンドポイント監視に検知されずにシステム間を横断移動する高レベルの特権
• モジュラー接続モデル:クラウド仲介者とピアツーピアトポロジーが帰属を不明瞭にし、コマンド&コントロール通信を隠蔽
これらの機能により、攻撃者はランサムウェアペイロードを起動する前に、長期間にわたって検知されずに潜伏することが可能になる。
見えないものを可視化する
従来のセキュリティツールは、ソフトウェアが正規のものであるため、RMMベースの侵入を検知するのに苦労している。しかし、ネットワークレベルの監視とコンテキスト行動分析が前進への道を提供している。
例えば、Cato CTRLの脅威調査ではWiresharkを使用してAnyDeskの活動を示唆する異常なTCP/7070トラフィックを特定し、XDRプラットフォーム内で異常としてWAN接続の外向きを検出した。このアプローチでは、従来のシグネチャルールではなく、初回使用、時間外の行動、ホスト間通信を重視している。
証明書ピン留めトンネルによるステルス
ランサムウェアギャングはRMMツールの大きな盲点を悪用している:証明書ピン留め。RMMプラットフォームはベンダーの証明書に対してのみ接続を認証し、mitmproxyやサンドボックスなどのセキュリティレイヤーによるトラフィック検査をブロックする。これにより攻撃者は検知されることなく悪意のあるスクリプトを密かに配信し、データを窃取できる。
例えば、フィッシングリンクをクリックすると、バックグラウンドでAnyDeskが静かに実行される可能性がある。リモートセッションが開始され、コマンドを実行またはファイルを転送し、新しいソフトウェアをインストールしたり明らかな証拠を残したりせずに終了する。
対策戦略:制御を取り戻す
RMMベースの攻撃に対抗するために、組織はネットワークの可視性と以下の堅牢な運用管理対策を組み合わせるべきである:
• ユーザーID、セッション時間、ターゲットホストの監査証跡によるRMMコンソールログインの監視と記録
• 承認されたRMMエージェントのみを許可し、未承認のインストーラーをブロックするツールのアローリスト化の実施
• サービスアカウントを制限し、エージェントの権限を制限する最小権限プロトコルの適用
• MFA、IP許可リスト、厳格なセッション時間ポリシーによるアクセス制御の強化
• 時間外セッション、初期接続試行、異常なデータ転送急増などの不規則性の追跡
• 証明書ピン留め設定、更新メカニズム、エージェントパラメータを検証する定期的な構成監査の実施
行動分析と組み合わせることで、これらの対策は本物のIT運用と隠された悪意のある活動を区別するのに役立つ。
結論:新たなセキュリティの必須事項
RMMツールの悪用増加は、正規の管理ソフトウェアが隠れた攻撃経路として機能する現代のセキュリティフレームワークの大きな欠陥を露呈している。ランサムウェアグループが信頼されたプラットフォーム内に脅威を隠蔽することで革新を続ける中、防御側は古典的な検知を超え、行動監視、フォレンジック可視性、規律ある運用管理を取り入れる必要がある。
