目次 [ close ]
  1. 対象試験と出題頻度
  2. 用語の定義
  3. 解説
    1. RATによる遠隔操作の流れ
    2. 似た用語との比較
  4. 試験ではこう出る!
  5. 【確認テスト】理解度チェック
  6. よくある質問(FAQ)

対象試験と出題頻度

RAT(Remote Access Trojan)は、情報セキュリティマネジメント・基本情報技術者・応用情報技術者で出題されるテーマです。

マルウェアの分類問題で、トロイの木馬・バックドア・ボットといった近い概念との違いを区別できるかが問われます。

詳細をクリックして確認
対象試験:
情報セキュリティマネジメント
基本情報技術者
応用情報技術者
出題頻度:
★★☆☆☆
ランクC(応用)余裕があれば覚える

用語の定義

情報セキュリティを勉強していると、「RATってトロイの木馬と何が違うの?」と混乱しがちです。

RAT(Remote Access Trojan)とは、一言で言うと

 「攻撃者が感染した端末を遠隔から自由に操作するために仕込むマルウェア

のことです。日本語では「リモートアクセス型トロイの木馬」と訳されます。

イメージとしては、他人に渡してしまった家の合鍵です。

合鍵を持った相手は、あなたが留守の間に好きなときに家へ入り、部屋を物色したり物を持ち出したりできます。RATに感染した端末も同じで、攻撃者が好きなタイミングで侵入し、ファイルを盗んだりカメラを起動したりできてしまいます。

📊 RATの基本情報

項目 内容
正式名称 Remote Access Trojan
和名 リモートアクセス型トロイの木馬/遠隔操作ウイルス
分類 トロイの木馬の一種(マルウェア)
主な目的 遠隔操作、情報窃取、追加マルウェアの投下

解説

正規のソフトやメール添付ファイルに偽装して端末に忍び込むのがRATの入口です。利用者が気づかないうちにインストールされ、その後ずっと攻撃者の指示を待ち続けます。

ここで鍵になるのがC2サーバ(Command and Control:指令サーバ)です。

感染端末は外部のC2サーバへ接続し、攻撃者からの命令を受け取って実行します。利用者の操作画面ののぞき見、キー入力の記録、ファイルの送信などが、すべて遠隔から行われます。

RATによる遠隔操作の流れ

攻撃者 ▼ 命令 ▲ 窃取データ C2サーバ(指令サーバ) ▼ 命令 ▲ 窃取データ 🔥 ファイアウォール 感染端末+RAT (被害者の端末)
1偽装ファイル等で端末に侵入し、RATが潜伏する
2感染端末「側から」外向きにC2サーバへ接続を開始する
3以降は命令と窃取データが双方向に流れ続ける

▲ 接続を「内側から外へ」張るのがRATの肝。多くのファイアウォールは内→外の通信を許可するため、すり抜けて検知されにくい

似た用語との比較

RATは「トロイの木馬」「バックドア」「ボット」と機能が重なる部分があり、ここを切り分けられるかが理解の山場です。

→ マルウェア全体の分類・見分け方は「マルウェアの種類と違い|12種の分類・見分け方をわかりやすく解説」で整理しています。

用語 本質 RATとの関係
RAT 端末を遠隔操作するマルウェア 本記事の主役
トロイの木馬 正規ソフトに偽装して侵入するマルウェアの総称 RATはこの一種
バックドア 再侵入用の「裏口」そのもの RATはバックドアを作る手段の一つ
ボット 多数の端末を一斉に遠隔操作(ボットネット) RATは個別端末の精密操作が中心

では、この用語が試験でどのように出題されるか見ていきましょう。

💡 RATの核心を3行で

・正規ソフトに偽装して侵入し、攻撃者が端末を遠隔操作するマルウェア
・C2サーバ経由で命令を受け取り、情報窃取やカメラ起動などを行う
・「トロイの木馬の一種」で、再侵入用のバックドアを設置する手段にもなる

試験ではこう出る!

RATは、SG・FE・APの午前問題で「マルウェアの種類を選ぶ」設問の選択肢として登場します。単独で深掘りされるより、他のマルウェアと並べて正誤を判定させる出題が中心です。

📝 出題パターン

パターン1:「遠隔操作するマルウェアはどれか」
「攻撃者が端末を外部から操作する」という説明に対し、RAT(遠隔操作型)を選ばせる形式。ウイルス・ワーム・スパイウェアがひっかけで並ぶ。

 

パターン2:「C2サーバ・ボットとの関連」
「感染端末が外部サーバから命令を受けて動作する仕組み」を問う設問で、C2(指令サーバ)の役割と絡めて出る。

 

試験ではここまででOKです。特定のRAT製品名(Remcos、AsyncRATなど)が問われることはないので、深追いは不要です。

【確認テスト】理解度チェック

ここまでの内容を理解できたか、簡単なクイズで確認してみましょう。

Q. RAT(Remote Access Trojan)の説明として、最も適切なものはどれでしょうか?

  • A. 正規のソフトに偽装して侵入し、攻撃者が感染端末を遠隔から操作できるようにするマルウェアである。
  • B. データを暗号化して使用不能にし、復号と引き換えに金銭を要求するマルウェアである。
  • C. 自分自身を複製しながらネットワーク経由で次々と他の端末へ感染を広げるマルウェアである。

正解と解説を見る

正解:A

解説:
RATは正規ソフトへの偽装で侵入し、C2サーバを介して攻撃者が端末を遠隔操作できる状態を作るマルウェアです。トロイの木馬の一種に位置づけられます。

選択肢Bはランサムウェアの説明です。データの暗号化と身代金要求が特徴で、遠隔操作を主目的とするRATとは目的が異なります。選択肢Cはワームの説明です。自己複製しながら自律的に感染を拡大する点が本質で、攻撃者の遠隔操作を前提とするRATとは仕組みが違います。

よくある質問(FAQ)

Q. RATはどうやって端末に侵入しますか?

主な入口はメール添付ファイル、改ざんされたWebサイト、不正な海賊版ソフトです。利用者が「便利なツール」だと思ってクリックした正規ソフト風のファイルに同梱されているケースが典型的です。最近はソフトやOSの脆弱性を突き、利用者の操作なしで仕込む手口も増えています。

Q. RATに感染すると具体的に何をされますか?

画面ののぞき見、キー入力の記録(キーロギング)、Webカメラ・マイクの不正起動、ファイルの持ち出し、追加マルウェアのダウンロードなどが挙げられます。感染端末を踏み台にして社内ネットワークの他の端末へ侵入を広げる「横展開」の起点にされることもあります。

Q. RATへの実務的な対策は何がありますか?

出所不明のファイルを開かない基本に加え、OSとソフトの最新化、EDR(端末の不審な挙動を検知する仕組み)の導入、そしてC2サーバへの不審な外向き通信をファイアウォールやプロキシで監視・遮断することが有効です。RATは感染端末側から外部へ接続する特徴があるため、出ていく通信の監視が検知の鍵になります。

Q. 正規のリモートデスクトップとRATは何が違いますか?

技術的に「遠隔操作する」という動作自体は似ています。決定的な違いは「利用者の同意があるか」です。リモートデスクトップは利用者が承認した正規の遠隔操作で、RATは利用者に気づかれないよう隠れて操作する不正なものです。試験でも「利用者の許可なく遠隔操作する」という点がRATを見分けるキーワードになります。