ゴーストコントロール攻撃とは？ 10分でわかりやすく解説

UnsplashのBiel Capllonchが撮影した写真      

ゴーストコントロール攻撃は、マルウェアなどがキーボードやマウス操作を合成し、アンチウイルスソフトの画面や保護機能を正規ユーザー操作のように操作して、リアルタイム保護を無効化しようとする攻撃手法です。ネットワーク機器の管理通信や制御系システムを広く乗っ取る一般名称ではなく、研究上はアンチウイルス製品の自己防御機能を狙う攻撃として扱われます。

ゴーストコントロール攻撃とは

ゴーストコントロール攻撃は、アンチウイルスソフトのGUIや保護機能に対し、攻撃者側が用意した操作列を自動実行することで、リアルタイムスキャンや保護設定を停止させる攻撃です。画面上はユーザーが操作したように見えるため、製品側が「正規操作」と「悪意ある合成操作」を区別できない場合に成立しやすくなります。

2021年に公表された研究では、29製品のアンチウイルスソフトを評価し、そのうち14製品でGhost Controlによる保護無効化が確認されたと報告されています。つまり、この攻撃の中心はネットワーク全体の遠隔制御ではなく、エンドポイント上の保護機能をユーザー操作に見せかけて停止させる点にあります。

用語の射程

ゴーストコントロール攻撃という表現を使う場面は、アンチウイルスソフトやエンドポイント保護のUI、リアルタイム保護、スキャン機能、自己防御機能が攻撃対象になるケースです。ルーター、ファイアウォール、産業用制御システムなどの管理通信を乗っ取る攻撃は、管理経路の侵害、設定改ざん、制御システム攻撃などとして分けて扱う方が正確です。

Cut-and-Mouse攻撃との違い

同じ研究では、Ghost ControlとあわせてCut-and-Mouseという攻撃も示されています。Ghost Controlはアンチウイルスソフトそのものの保護機能を停止させる攻撃です。一方、Cut-and-Mouseは、メモ帳などの正規アプリケーションに合成入力を送り、保護対象ファイルへの操作を正規アプリの動作に見せかける攻撃です。どちらも合成入力を悪用しますが、狙う対象と結果が異なります。

ゴーストコントロール攻撃の仕組み

攻撃の基本的な流れ

1. 攻撃者が、対象となるアンチウイルス製品の画面構成や操作手順を事前に調べる
2. マルウェアが端末上で稼働し、導入済みのアンチウイルス製品や画面サイズを確認する
3. 保護停止に必要なマウスクリックやキーボード入力を合成する
4. アンチウイルスソフトのGUIや保護機能に対して、正規ユーザー操作のように入力を送る
5. リアルタイム保護やスキャン機能が停止した状態で、追加のマルウェア実行や不正処理を進める

成立しやすい条件

Ghost Controlが成立しやすいのは、アンチウイルスソフトの画面や保護機能が、低い権限のプロセスからの入力やメッセージを受け付けてしまう場合です。保護機能の停止が管理者承認なしで実行できる、スキャンコンポーネントへの操作が十分に制限されていない、保護停止の警告が弱い、といった条件が重なると危険度が上がります。

反対に、保護機能の停止に管理者権限やOS側の確認が求められる設計、アンチウイルスのGUIが高い整合性レベルで動作する設計、保護機能へのアクセスが厳格に制限されている設計では、攻撃は成立しにくくなります。

被害が広がる理由

リアルタイム保護が停止すると、攻撃者は検知を受けにくい状態で追加の不正プログラムを実行できます。たとえば、ランサムウェアの実行、C&C サーバーからの追加ペイロード取得、保護対象ファイルへの不正操作などにつながります。Ghost Control自体がすべての侵害を完結させるのではなく、端末保護を弱めることで次の攻撃を通しやすくする点が問題です。

ゴーストコントロール攻撃で狙われるもの

リアルタイム保護の停止

代表的な狙いは、アンチウイルスソフトのリアルタイム保護を停止させることです。保護停止の画面や確認ボタンが合成入力で操作できる場合、攻撃者はユーザーが手動で保護を停止したように見せかけて、防御機能を一時的に無効化できます。

警告画面の消去

保護が停止すると、OSやセキュリティ製品が警告を出す場合があります。ただし、合成入力によって警告画面を閉じる操作まで実行されると、利用者や管理者の認知が遅れます。警告を表示するだけでなく、管理コンソールへの通知、ログ記録、保護再有効化の自動処理まで含めて設計する必要があります。

保護例外や設定変更の悪用

保護停止だけでなく、スキャン除外設定の追加、ポリシー変更、保護対象フォルダの変更などが操作対象になる場合もあります。こうした変更は、単発のマルウェア検知よりも発見が遅れやすいため、設定変更の承認と監査が欠かせません。

ゴーストコントロール攻撃への対策

保護機能の改変防止を有効化する

アンチウイルスソフトやEDRに自己保護、改変防止、タンパープロテクションに相当する機能がある場合は、管理ポリシーとして有効化します。保護停止や除外設定の追加を、ローカル端末の単純なGUI操作だけで完了できない設計にします。

管理者権限を常用させない

一般利用者が日常業務で管理者権限を使い続ける環境では、保護機能の停止や設定変更が攻撃に利用されやすくなります。端末利用者は標準ユーザーを基本とし、管理作業は申請、承認、期限付き権限、作業記録を伴う形に分けます。あわせて最小特権の原則に沿って、不要なローカル管理者権限を減らします。

保護停止と設定変更をログ化する

確認対象は、保護機能の停止、スキャン除外の追加、ポリシー変更、サービス停止、管理コンソール上の権限変更です。これらのイベントを端末内だけに残すと、侵害時に削除される恐れがあります。ログは集中管理し、保護停止や除外追加が発生した時点で管理者へ通知する運用にします。

管理コンソールを個人IDと多要素認証で保護する

エンドポイント保護製品の管理コンソールでは、共有管理者アカウントを避け、個人ID、権限分離、操作ログを組み合わせます。外部からアクセスできる管理画面やクラウド管理コンソールには、多要素認証を適用します。Ghost Controlは端末上の合成入力が中心ですが、管理コンソール側の侵害と組み合わさると保護ポリシー全体が変更されるためです。

OSとセキュリティ製品を更新する

OSのユーザー権限制御、セキュリティ製品の自己防御、GUI操作に対する制限は、製品更新で改善されることがあります。既知の脆弱性対応だけでなく、保護機能の停止手順、除外設定の承認、管理者権限要求の有無も定期的に確認します。

組織で確認するチェックポイント

• リアルタイム保護の停止に管理者承認または集中管理ポリシーが求められるか
• 保護停止、除外追加、ポリシー変更がログとして集中管理されているか
• 保護機能の停止時に管理者へ通知されるか
• 利用者がローカル管理者権限を常用していないか
• EDRやアンチウイルスの改変防止機能が有効化されているか
• 管理コンソールに個人ID、権限分離、多要素認証が適用されているか
• ランサムウェア対策として、バックアップ、アプリケーション制御、権限管理が併用されているか

ゴーストコントロール攻撃が疑われる場合の初動

端末上で保護機能が意図せず停止していた場合、まず対象端末をネットワークから切り離し、保護停止時刻、設定変更履歴、実行プロセス、追加された除外設定を確認します。次に、同じ管理ポリシーを受ける端末群で同様の停止や除外追加が発生していないかを確認します。調査前に端末を初期化すると証跡を失うため、ログ保全とメモリ・ディスク調査の要否を先に判断します。

保護機能の再有効化だけで終わらせると、再侵入や別ペイロードの実行を見逃す恐れがあります。保護停止の前後で実行されたプロセス、ダウンロード、外部通信、権限変更を確認し、必要に応じて認証情報の失効、端末隔離、同一ネットワーク内の横展開調査を進めます。

まとめ

ゴーストコントロール攻撃は、アンチウイルスソフトのGUIや保護機能を合成入力で操作し、リアルタイム保護を無効化しようとする攻撃です。対策の中心は、保護停止をローカル操作だけで完了させないこと、管理者権限を絞ること、保護停止や除外追加をログ・アラート化することです。ネットワーク管理通信の侵害と混同すると対策の焦点がずれるため、エンドポイント保護の自己防御と設定変更監査を優先して確認します。

よくある質問（FAQ）