SystemBC|サイバーセキュリティ.com

  1. ホーム /
  2. セキュリティ用語集 /
  3. SystemBC
             

SystemBC

SystemBCは、サイバー犯罪者によってリモートアクセスの確保やマルウェアのダウンロードに使用されるバックドア型マルウェアで、特にランサムウェア攻撃の一環として多用されています。このマルウェアは、暗号化通信を活用してネットワークの防御を回避し、システム内での持続的なアクセス(Persistence)を確保するために構築されています。SystemBCは通常、他のマルウェアと共に導入され、攻撃者がネットワーク内でのさらなる不正活動や追加マルウェアの展開を行えるよう支援します。

SystemBCは、感染端末内でプロキシを使用したトラフィックの暗号化や、セキュリティ監視の回避といった機能を備え、TrickBotやRyuk、Contiなど、ランサムウェア攻撃で知られる多くのマルウェアと一緒に使われていることが確認されています。

SystemBCの主な特徴と機能

SystemBCは、攻撃者が標的システムに持続的なアクセスを確保し、不正活動を隠蔽するためにさまざまな機能を備えています。以下はその主な特徴です:

  1. プロキシ機能と暗号化通信
    SystemBCは、攻撃者の通信をプロキシサーバー経由で行い、トラフィックを暗号化します。これにより、ネットワーク監視やセキュリティソフトウェアによる検知を回避し、リモートサーバーとの安全な通信経路を確保します。
  2. ペイロードのダウンローダー機能
    SystemBCは、他のマルウェア(ランサムウェアや情報窃取ツールなど)をダウンロードし、感染端末に展開するためのダウンローダーとしても機能します。これにより、複数のマルウェアを段階的に導入し、攻撃範囲を広げます。
  3. 持続的なアクセスの確保
    システムにバックドアを作成し、攻撃者が後から何度もアクセスできるように設計されています。感染したシステムは、攻撃者がコマンドを送信することで操作可能となり、長期間の不正アクセスが可能になります。
  4. 拡張性と柔軟な操作
    SystemBCはスクリプトやコマンドの実行機能も備えており、攻撃者がカスタマイズされた指令を送り、システム操作や情報収集など多岐にわたる行為を行えます。

SystemBCの感染経路

SystemBCは、以下のような手段で標的システムに感染します:

  1. フィッシングメールやスパムメール
    フィッシングメールの添付ファイルやリンクからドロッパーがダウンロードされ、SystemBCが展開されるケースが多く見られます。
  2. 他のマルウェアとの連携
    SystemBCは、EmotetやTrickBot、Dridexといったトロイの木馬型マルウェアと共にインストールされることが多く、これらの感染後にSystemBCがダウンロード・実行される場合があります。
  3. 脆弱性の悪用
    OSやソフトウェアの脆弱性を悪用したエクスプロイトキットを使い、リモートからSystemBCがインストールされることもあります。脆弱性を狙うことで、被害者が気づかないうちにシステムが感染します。

SystemBCがもたらすリスク

SystemBCの感染により、組織やシステムには以下のようなリスクが生じます:

  1. ネットワーク侵入の持続性
    SystemBCは、攻撃者が持続的にシステムにアクセスできるバックドアを提供するため、攻撃者が侵入した後も、繰り返しアクセスを行い、システム全体に渡る脅威が残り続けるリスクがあります。
  2. 追加マルウェアの展開
    SystemBCが導入されることで、攻撃者が後からランサムウェアや情報窃取ツールなどのマルウェアをインストールすることが可能になります。これにより、ランサムウェアによる金銭的要求や、機密情報の窃取などが行われる可能性が高まります。
  3. セキュリティ検知の回避
    SystemBCは通信を暗号化し、プロキシを用いてトラフィックを隠すため、一般的なセキュリティ対策では検知が難しいという特性を持っています。そのため、感染が発覚しにくく、システム内部での活動が長期間にわたり行われるリスクがあります。

SystemBCへの防御策

SystemBCによる攻撃を防ぐためには、以下のような対策が推奨されます:

  1. 多層的なメールセキュリティ
    フィッシングメールによる感染を防ぐため、メールのフィルタリング機能や添付ファイルの検査機能を強化します。また、従業員への教育やトレーニングも重要です。
  2. エンドポイントセキュリティの強化
    アンチウイルスやEDR(Endpoint Detection and Response)ツールを使用して、マルウェアのダウンロードや不審な通信を早期に検知し、システムを保護します。
  3. 脆弱性管理とセキュリティパッチの適用
    システムやソフトウェアの脆弱性を悪用されないよう、定期的にセキュリティパッチを適用し、脆弱性管理を徹底します。
  4. ネットワークトラフィックの監視
    通信トラフィックの監視を行い、暗号化された異常なトラフィックや、不正なプロキシ通信が行われていないか確認することで、早期にSystemBCの活動を発見できる可能性が高まります。
  5. バックアップの取得と復元計画
    ランサムウェア攻撃の被害に備え、定期的にバックアップを取得し、バックアップからの復元計画を策定しておくことが重要です。

SystemBCの代表的な被害事例

SystemBCは、ランサムウェアと組み合わせて使われることが多く、被害が大きくなる傾向があります。以下は、SystemBCが関与した代表的な被害の例です:

  1. 金融業界へのランサムウェア攻撃
    TrickBotとSystemBCが同時に使われ、感染したシステム内にRyukランサムウェアが展開され、銀行や金融機関が金銭的な要求を受けたケースが報告されています。
  2. 医療機関への攻撃
    SystemBCがバックドアとして設置され、医療機関のネットワークにClopランサムウェアが導入された例もあります。医療データが暗号化され、業務に深刻な支障をきたすケースが発生しています。
  3. 政府機関や教育機関のシステム侵入
    EmotetやSystemBCを経由したランサムウェア攻撃が政府機関や教育機関でも発生しており、特に機密情報の漏洩や長期間にわたる不正アクセスの被害が報告されています。

まとめ

SystemBCは、プロキシ通信や暗号化を活用したバックドア型マルウェアで、リモートからの持続的なアクセスや追加マルウェアの導入を行うことが可能です。特にランサムウェア攻撃で多用され、標的システムやネットワークに侵入した後も、攻撃者が再度アクセスしやすい環境を作ります。SystemBCによるリスクから組織を守るためには、メールセキュリティ、エンドポイント防御、脆弱性管理、トラフィック監視といった多層的な対策が不可欠です。また、ランサムウェアへの備えとして定期的なバックアップや復元計画の策定も重要です。

関連コラム(あわせて、以下の記事もよく読まれています)

製品・サービス(当該コラムの内容に関連する製品・サービスはこちら)


SNSでもご購読できます。