TeamViewerを安全につかうために

セキュリティ

田原祐介

メルマガ登録する

メルマガ登録する

ラックは2019年4月よりTeamViewerの取り扱いを開始しました。
企業においてTeamViewerを安全にご利用いただくために導入コンサルティングを行っております。

2016年6月から、有名なリモートログインサービスであるTeamViewerを悪用して、不正なログインが行われ、PayPalやオンラインバンキングのアカウントを窃取する事例が多数報告されている。以前から同様の事例は報告されていたが、2016年6月に入って報告が一気に増えている。

こんにちは、たはら＠ラックです。

TeamViewerはインターネット経由で、リモートログインを提供するサービスです。幅広いOSのサポートと画面を共有することができることから、会議やリモート保守サービスなど、企業でも広く使われているソフトウェアです。弊社のお客様でも、ネットワークフォレンジックサービスを実施すると、1割弱くらいのお客様で関連する通信を検知します。ただし、インターネット経由でリモートログインができるというリスクを正しく理解して、プロキシなどで特定のホストやユーザのみに限定した上で利用されているお客様が大半です。

ところが、安全に利用しているつもりでも、侵害されてしまう可能性のある事件が報告されています。

TeamViewerが悪用された事例
今すぐやるべきこと
侵害の可能性がある場合
TeamViewerを使用しているかを確認する場合
リモートログインサービスはどう使うべきか？

TeamViewerが悪用された事例

2016年6月に入ってから、TeamViewerを悪用して不正なログインが行われ、PayPalやオンラインバンキングのアカウントが窃取される事例が海外を中心に多数報告されています。実は、以前から同様の事例は報告されていたのですが、2016年6月に入ってから一気に報告が増えたことから、TeamViewerのユーザ情報が大規模に漏えいした可能性が指摘されています。

TeamViewer users are being hacked in bulk, and we still don't know how | Ars Technica

関連性は不明ですが、TeamViewer社からは2016年6月1日にDoS攻撃によるサービス停止が発生したことがアナウンスされており、このアナウンスの中でTeamViewerからのユーザ情報の漏えいは否定されています。

Statement on Service Outage

ところが、2016年6月3日には新しいセキュリティ機能の導入が発表されていることから、TeamViewer社でも大規模な侵害が発生していることを認識しており、早急なセキュリティ対策の強化が必要と判断されたものと思われます。

TeamViewer Launches Trusted Devices and Data Integrity

なお、日本でもTeamViewerが原因と思われる事例が報告されています。

今すぐやるべきこと

TeamViewerを使っている場合には、Webサービスにログインして、画面右上のアカウント名をクリックしてプロファイルの編集→アクティブなログインを実行して、見覚えのないログインが無いか確認します（下図参照）。さらに、TeamViewerがインストールされているフォルダ（例：C:＼Program Files＼TeamViewer）以下の"Connections_incoming.txt"ファイルを参照して、同様に見覚えのないログインが無いか確認します（時刻はUTC表示）。

見覚えのないログインが無いか確認します

TeamViewerを本当に使う必要があるのか検討してください。特に、リモートから接続する必要があるのか検討して、不要であればアンインストールします。

TeamViewerを使用する場合には、以下の設定を行います。

　TeamViewerの常時起動はやめる。現在動作しているTeamViewerを停止して、"Windowsと同時にTeamViewerを起動"オプションを無効にする。
　2段階認証を有効にする。
　ホワイトリストを使って接続できるユーザを限定する。
　パスワードは強固なものを設定し、使い回さない。

侵害の可能性がある場合

不正ログインされた後は、ブラウザに保存されているアカウント情報を盗み出してAmazon、Paypal、eBay、オンラインバンキングなどで買い物や不正送金を行う、バックドアをインストールするなどの被害が確認されています。もし、侵害の可能性がある場合には、TeamViewerの使用を中止して、可能性のあるアカウントのパスワードを全て変更します。すでに不正な購入が行われていた場合には、サポート窓口に連絡して不正購入の事実を伝えて返金を依頼します。攻撃者によってパスワードが変更されている可能性もあるため、ログインが出来ない場合には、パスワードが変更されている疑いがあります。バックドアがインストールされている可能性もあるため、自信がない場合には、侵害されたPCは使用しない方がいいでしょう。

また、有償でTeamViewerを利用している場合はサポートを受けられるため、以下の問い合わせ窓口に連絡します。その際に、TeamViewerがインストールされているフォルダにある "TeamViewer*_Logfile*.log"に詳細なログが残っている場合があるため、このファイルを添付するとよいでしょう。

TeamViewerを使用しているかを確認する場合

TeamViewerを使用すると、以下のドメインへの通信が発生します。プロキシがある場合には、以下のドメインへの通信が発生しているか確認します。ただし、通常のWebアクセスでも発生する可能性があるため、必ずしもサービスを使用しているとは限りません。
*.teamviewer.com
*.dyngate.com

また、Palo Alto Firewallを使用している場合には、以下の名称のアプリケーションで検知します。
teamviewer-base
teamviewer-remote-control
teamviewer-sharing

リモートログインサービスはどう使うべきか？

TeamViewerだけでなく、便利なリモートログインサービスは他にもあります。信頼できるサービスを選んで正しく設定すれば、ある程度は安全に使用することができるはずです。しかし、ゲートウェイを通過してインターネット経由でダイレクトにホストにログインすることができる点は重大なリスクとなる可能性があります。したがって、利用しているサービスで情報漏洩や侵害が発生しても、被害を抑え込めるような対策を実施した上で利用するべきでしょう。