目次 [ close ]
  1. 対象試験と出題頻度
  2. 用語の定義
  3. 解説
    1. 具体的な活用例・対策
  4. 試験ではこう出る!
  5. 【確認テスト】理解度チェック

対象試験と出題頻度

詳細をクリックして確認
対象試験:
情報セキュリティマネジメント試験
基本情報技術者試験
応用情報技術者試験
出題頻度:
★★☆☆☆
ランクC(応用)

用語の定義

RAT(Remote Access Trojan)とは、一言で言うと「感染したPCやスマートフォンを、攻撃者がインターネット経由で完全に遠隔操作できるようにするトロイの木馬型マルウェア」のことです。

イメージとしては、「自分のPCの前に、見えない攻撃者がもう一人座っていて、好き勝手に操作している状態」と同じです。
「RAT」は「Remote Access Trojan(遠隔アクセス型トロイの木馬)」の略ですが、英語で「ネズミ」という意味もあり、こっそり侵入するイメージとも合致しています。RATに感染すると、攻撃者はあたかもその場にいるかのように、PCを自由に操作できてしまいます。

解説

RATは、トロイの木馬の中でも特に危険なタイプのマルウェアです。通常のマルウェアが特定の機能(キー入力の記録、ファイルの暗号化など)に特化しているのに対し、RATは「何でもできる」点が特徴です。攻撃者がRATを通じてできることは以下の通りです。

  • 画面の監視・操作: 被害者の画面をリアルタイムで見たり、マウスやキーボードを操作したりする
  • ファイルの閲覧・窃取・削除: PC内のすべてのファイルにアクセスし、コピーや削除ができる
  • キー入力の記録: キーロガー機能でパスワードや入力内容を盗む
  • Webカメラ・マイクの盗聴: カメラやマイクを遠隔で起動し、盗撮・盗聴する
  • 追加マルウェアのインストール: ランサムウェアやボットなど、他のマルウェアを追加でインストールする
  • 認証情報の窃取: ブラウザに保存されたパスワードやCookieを盗む

RATの感染経路と攻撃フローは以下の通りです。

  • ステップ1:感染 – フィッシングメールの添付ファイル、不正なWebサイト、偽のソフトウェアなどから感染する
  • ステップ2:C&Cサーバへの接続 – RATは攻撃者のC&Cサーバ(指令サーバ)に接続し、命令を待つ
  • ステップ3:遠隔操作 – 攻撃者は専用のクライアントソフトを使い、感染PCをリアルタイムで操作する
  • ステップ4:情報窃取・悪用 – 認証情報を盗む、踏み台として他の攻撃に悪用する、盗撮・盗聴するなど

有名なRATとしては、「DarkComet」「njRAT」「Poison Ivy」「QuasarRAT」「Remcos」などがあります。また、スマートフォンを標的にしたモバイルRAT(Android向けなど)も存在します。

具体的な活用例・対策

RATの主な感染経路と対策を紹介します。

  • フィッシングメール: 不審なメールの添付ファイルやリンクを開かない
  • 偽ソフトウェア・クラック版: 正規のサイトからのみソフトをダウンロードする。海賊版ソフトは絶対に使わない
  • 脆弱性の悪用: OSやソフトウェアを最新に保ち、セキュリティパッチを適用する
  • ソーシャルエンジニアリング: 「サポート詐欺」など、リモートソフトをインストールさせる手口に注意する

RAT対策の基本は以下の通りです。

  • ウイルス対策ソフトの導入: RATを検知・駆除できるセキュリティソフトを使用し、定義ファイルを最新に保つ
  • ファイアウォールの設置: 不審な外部通信(C&Cサーバへの接続)をブロックする
  • ネットワーク監視: 異常な通信パターン(未知のサーバへの接続、大量のデータ送信など)を検知する
  • Webカメラのカバー: 使用しないときは物理的にカメラを覆い、盗撮を防ぐ
  • EDRの導入: 端末上での不審な挙動(画面キャプチャ、キー入力記録など)をリアルタイムで検知する
  • 定期的なセキュリティスキャン: 不審なプロセスやスタートアップ項目がないか確認する

試験ではこう出る!

情報セキュリティマネジメント試験・基本情報技術者試験・応用情報技術者試験で出題されます。以下のキーワードとセットで覚えましょう。

【重要キーワード】

  • トロイの木馬(RATはその一種)
  • 遠隔操作・リモートアクセス
  • C&Cサーバ(指令サーバ)
  • バックドア(RATが設置する裏口)
  • キーロガー・スクリーンキャプチャ
  • Webカメラ・マイクの盗聴

試験問題で「感染したPCを遠隔操作する」「画面の監視やファイル操作を行う」「Webカメラやマイクを遠隔で起動する」といった記述があれば、それは「RAT(Remote Access Trojan)」に関する記述です。

【確認テスト】理解度チェック

ここまでの内容を理解できたか、簡単なクイズで確認してみましょう。

Q. RAT(Remote Access Trojan)に関する説明として、最も適切なものはどれでしょうか?

  • A. ファイルを暗号化して使用不能にし、復旧と引き換えに身代金を要求するマルウェア
  • B. 感染したPCを攻撃者が完全に遠隔操作でき、画面監視やファイル窃取、盗撮などを行えるマルウェア
  • C. 大量の感染PCを束ねてDDoS攻撃やスパム送信に悪用するためのマルウェアネットワーク

正解と解説を見る

正解:B

解説:
RAT(Remote Access Trojan:遠隔アクセス型トロイの木馬)とは、感染したPCやスマートフォンを攻撃者がインターネット経由で完全に遠隔操作できるようにするマルウェアです。画面の監視・操作、ファイルの閲覧・窃取、キー入力の記録、Webカメラ・マイクの盗聴など、「何でもできる」点が特徴です。
Aは「ランサムウェア」、Cは「ボットネット」の説明です。RATの特徴は「1台のPCを完全に遠隔操作できる」点にあり、ボットのように大量のPCを一括操作するのとは目的が異なります。