🧨 概要：PuTTYとOpenSSHがサイバー攻撃の手段に

ハッカーたちは、システム管理者がよく使うSSHクライアント「PuTTY」や、Windowsに標準搭載されている「OpenSSH」を悪用し、Windowsパソコンにマルウェア（悪意のあるソフトウェア）を仕掛ける攻撃を行っています。これらのツールは本来、安全なリモート接続のための正当なソフトウェアですが、ハッカーはこれらを「LOLBIN（Living Off the Land Binary）」と呼ばれる手法で悪用し、セキュリティ対策をすり抜けて不正アクセスを行っています。

🛠️ 攻撃の手口：正規ツールを使った巧妙な侵入

SANS研究所の分析によると、ハッカーは以下のような手順で攻撃を行っています：
1. 「dllhost.exe」という名前のマルウェアを使い、WindowsのOpenSSHクライアント（C:\Windows\System32\OpenSSH\ssh.exe）を標的にします。
2. マルウェアは、既存の「SSHService」を起動しようと試み、失敗するとレジストリ（SOFTWARE\SSHservice）から以前に保存されたランダムなポート番号を取得します。初回実行時には新たなポート番号を生成し、レジストリに保存します。
3. 攻撃者の指令サーバー（C2）と通信するためのSSH設定ファイル（c:\windows\temp\config）を作成します。この設定には、以下のような内容が含まれています：
   - 接続先IPアドレス：193.187.174.3
   - ポート番号：443（通常HTTPS通信で使用されるポート）
   - ServerAliveInterval 60：60秒ごとにサーバーに信号を送る
   - ServerAliveCountMax 15：15回信号が途絶えると接続を終了
   - StrictHostKeyChecking no：ホストキーの確認を無効化
   - RemoteForward：リモートポート転送の設定（ただし、構文エラーがある可能性あり）
4. マルウェアは無限ループで動作し、長時間のスリープを挟みながら定期的にC2サーバーへの接続を試みます。これにより、セキュリティソフトの検出を回避します。

🔐 初心者向けの対策ポイント

このような攻撃から身を守るために、以下のポイントに注意しましょう：
・信頼できるソースからのみソフトウェアをダウンロードする
・ソフトウェアのデジタル署名を確認する
・セキュリティソフトを最新の状態に保つ
・不審なファイルやリンクを開かない

📚 まとめ：正規ツールの悪用に注意

今回の攻撃は、信頼されている正規のツールが悪用される「LOLBIN」手法の一例です。システム管理者や一般ユーザーを問わず、日常的に使用するツールが攻撃の手段となる可能性があるため、常に注意が必要です。ソフトウェアの入手先や署名の確認、セキュリティ対策の徹底など、基本的なセキュリティ意識を持つことが重要です。

記載者：片山　昌樹（セキュリティ＆マネージド事業部）