株式会社ラック

トップレベルのセキュリティ技術を駆使した
ITトータルソリューションで、未来をきり拓く

セキュリティ事故発生時はこちら

情報を守り、未来を創造するパイオニアとしての信頼と自信で、もっと先へ

最高峰のセキュリティサービスと、ITトータルソリューションを提供します。

閉じる

ご相談は予約不要、24時間対応

緊急対応窓口:サイバー救急センター®

セキュリティに係るお客様の緊急事態に際し迅速にお客様をご支援する緊急対応サービスです。
緊急事態が発生したら今すぐ「サイバー救急センター」にご相談ください。

電話で相談する

メールで相談する

サイバー救急センター®のメールアドレス

ご相談は予約不要、24時間対応

緊急対応窓口:サイバー救急センター®

セキュリティ事故発生時はすぐにご連絡ください

LAC WATCH
2016年06月06日 | ラックピープル

TeamViewerに気をつけましょう

6月から、有名なリモートログインサービスであるTeamViewerを悪用して、不正なログインが行われ、PayPalやオンラインバンキングのアカウントを窃取する事例が多数報告されている。以前から同様の事例は報告されているが、6月に入って報告が一気に増えている。

こんにちは、たはら@ラックです。

TeamViewerはインターネット経由で、リモートログインを提供するサービスです。幅広いOSのサポートと画面を共有することができることから、会議やリモート保守サービスなど、企業でも広く使われているソフトウェアです。弊社のお客様でも、ネットワークフォレンジックサービスを実施すると、1割弱くらいのお客様で関連する通信を検知します。ただし、インターネット経由でリモートログインができるというリスクを正しく理解して、プロキシなどで特定のホストやユーザのみに限定した上で利用されているお客様が大半です。

ところが、安全に利用しているつもりでも、侵害されてしまう可能性のある事件が報告されています。
6月に入ってから、TeamViewerを悪用して不正なログインが行われ、PayPalやオンラインバンキングのアカウントが窃取される事例が海外を中心に多数報告されています。実は、以前から同様の事例は報告されていたのですが、6月に入ってから一気に報告が増えたことから、TeamViewerのユーザ情報が大規模に漏えいした可能性が指摘されています。

関連性は不明ですが、TeamViewer社からは6月1日にDoS攻撃によるサービス停止が発生したことがアナウンスされており、このアナウンスの中でTeamViewerからのユーザ情報の漏えいは否定されています。

ところが、6月3日には新しいセキュリティ機能の導入が発表されていることから、TeamViewer社でも大規模な侵害が発生していることを認識しており、早急なセキュリティ対策の強化が必要と判断されたものと思われます。

なお、日本でもTeamViewerが原因と思われる事例が報告されています。

今すぐやるべきこと

TeamViewerを使っている場合には、Webサービスにログインして、画面右上のアカウント名をクリックしてプロファイルの編集→アクティブなログインを実行して、見覚えのないログインが無いか確認します(下図参照)。さらに、TeamViewerがインストールされているフォルダ(例:C:\Program Files\TeamViewer)以下の"Connections_incoming.txt"ファイルを参照して、同様に見覚えのないログインが無いか確認します(時刻はUTC表示)。

見覚えのないログインが無いか確認します

TeamViewerを本当に使う必要があるのか検討してください。特に、リモートから接続する必要があるのか検討して、不要であればアンインストールします。

TeamViewerを使用する場合には、以下の設定を行います。

  1.  TeamViewerの常時起動はやめる。現在動作しているTeamViewerを停止して、"Windowsと同時にTeamViewerを起動"オプションを無効にする。
  2.  2段階認証を有効にする。
  3.  ホワイトリストを使って接続できるユーザを限定する。
  4.  パスワードは強固なものを設定し、使い回さない。

侵害の可能性がある場合

不正ログインされた後は、ブラウザに保存されているアカウント情報を盗み出してAmazon、Paypal、eBay、オンラインバンキングなどで買い物や不正送金を行う、バックドアをインストールするなどの被害が確認されています。もし、侵害の可能性がある場合には、TeamViewerの使用を中止して、可能性のあるアカウントのパスワードを全て変更します。すでに不正な購入が行われていた場合には、サポート窓口に連絡して不正購入の事実を伝えて返金を依頼します。攻撃者によってパスワードが変更されている可能性もあるため、ログインが出来ない場合には、パスワードが変更されている疑いがあります。バックドアがインストールされている可能性もあるため、自信がない場合には、侵害されたPCは使用しない方がいいでしょう。

また、有償でTeamViewerを利用している場合はサポートを受けられるため、以下の問い合わせ窓口に連絡します。その際に、TeamViewerがインストールされているフォルダにある "TeamViewer*_Logfile*.log"に詳細なログが残っている場合があるため、このファイルを添付するとよいでしょう。

TeamViewerを使用しているかを確認する場合

TeamViewerを使用すると、以下のドメインへの通信が発生します。プロキシがある場合には、以下のドメインへの通信が発生しているか確認します。ただし、通常のWebアクセスでも発生する可能性があるため、必ずしもサービスを使用しているとは限りません。
*.teamviewer.com
*.dynagate.com

また、Palo Alto Firewallを使用している場合には、以下の名称のアプリケーションで検知します。
teamviewer-base
teamviewer-remote-control
teamviewer-sharing

より詳しく知るにはこちら

Palo Altoの機能を利用することにより、TeamViewerの通信を自動遮断することも可能です。
Palo Altoの製品説明および導入に関する相談はこちらをご覧ください。

リモートログインサービスはどう使うべきか?

TeamViewerだけでなく、便利なリモートログインサービスは他にもあります。信頼できるサービスを選んで正しく設定すれば、ある程度は安全に使用することができるはずです。しかし、ゲートウェイを通過してインターネット経由でダイレクトにホストにログインすることができる点は重大なリスクとなる可能性があります。したがって、利用しているサービスで情報漏洩や侵害が発生しても、被害を抑え込めるような対策を実施した上で利用するべきでしょう。

この記事は役に立ちましたか?

はい いいえ

関連記事

LAC WATCH

関連記事をご紹介します

  • 旧バージョンの「Lhaplus」に脆弱性、その問題と対策を脆弱性発見者が解説(JVN#57842148)

  • 遠隔操作ウイルスの制御にDNSプロトコルを使用する事案への注意喚起

  • マルウェアによる被害の実態

サイバーセキュリティに関する
様々な情報をお届けします

メルマガでは、より厳選した情報を
月に2〜3回配信しています
詳しくはこちら

page top