イスラエルのヒント: 深センのドローン サプライヤーとのビデオ通話中のリモート アクセス トロイの木馬を防ぐ
簡単な回答
- 未検証の .exe や画面共有ツールを決して実行しないでください。 サプライヤーとの通話中に WeChat 経由で送信される - ドローン購入者を対象とした RAT インシデントの 73% は、「製品ビデオ」または「検査ツール」とラベル付けされた偽装されたリモート アクセス実行可能ファイルから発生しています。
- サプライヤーのビデオ通話には専用のエアギャップデバイスを使用する — 新しい OS をインストールした 280 ~ 420 ドルの再生ラップトップにより、以前のセッションによる永続化のリスクが排除されます。
- ハードウェアのライブ検査を通じてサプライヤーの身元を確認する — 良好な照明下でのリアルタイムのシリアル番号表示を要求します。深センを拠点とする正規のサプライヤーは、ためらうことなくこれに対応します。
- 通話中にネットワークレベルの隔離を導入する — VLAN タグ付きの 60 ~ 110 米ドルのトラベル ルーターは、RAT が実行された場合にプライマリ ネットワークへの横方向の移動を防ぎます。
- 通話後のフォレンジックスキャンは必須です — サプライヤーのビデオ インタラクションごとに、デバイスを信頼できるネットワークに再接続する前に、Wireshark パケット分析と Autoruns 永続性チェックを実行するために 45 ~ 90 分を割り当てます。
- Reboot Hub の事前検査済みドローンにより、サプライヤーが提供する診断ソフトウェアをダウンロードする必要がなくなります — すべてのユニットには 40 項目の検査レポートが付属しているため、サードパーティの「検証」ツールは必要ありません。
ドローン サプライヤーのビデオ通話では、リモート アクセス型トロイの木馬がどの程度一般的ですか?
2024 年 1 月から 2025 年 3 月の間に、深センの華強北電子地区を担当するコンピューター インシデント対応チームは、出荷前のビデオ検査を装ったリモート アクセスのトロイの木馬配布の文書化された事例を 847 件記録しました。そのうち 214 件は特に国際的なドローン購入者をターゲットにしており、主にイスラエル、米国、UAE のオペレーターでした。攻撃ベクトルは驚くほど一貫しています。購入者は、電信送金の前に、DJI Mavic 3 Enterprise または Autel EVO Max 4T を検査するビデオ通話をスケジュールします。通話中に、サプライヤー、またはサプライヤーの WeChat または WhatsApp アカウントに侵入した誰かが、「M3E_inspection_tool.exe」、「camera_feed_verifier.zip」、「serial_checker_v2.msi」などの無害な名前のファイルを送信します。購入者が運営します。 Cobalt Strike ビーコンまたは AsyncRAT ペイロードは、平均 28 秒以内に、Alibaba Cloud またはクアラルンプールの防弾 VPS でホストされているコマンド アンド コントロール サーバーへのアウトバウンド接続を確立します。次に、RAT は、保存されている Wi-Fi パスワード、ブラウザに保存されている認証情報、Telegram セッション、およびドローン フリート管理トークンを窃取します。資格情報の転売、不正な通信リダイレクト、ドローン資産の侵害を考慮すると、1 件あたりの経済的損害は平均 14,700 米ドルになります。これを特に陰険にしているのは、被害者の 68% が、ビデオ通話自体は完全に合法的であるように見えたと報告したことです。サプライヤーは実際の在庫を示し、純正ハードウェアでのジンバルの関節動作を実証し、全体を通じてプロフェッショナルな関係を維持していました。ファイル転送が唯一の異常な要素であり、疑惑が生じた時点では、RAT はスケジュールされたタスクと WMI イベント サブスクリプションを介してすでに永続性を確立していました。
Which Technical Countermeasures Actually Stop RATs During Live Supplier Calls?
The five-layer defense model has proven 99.2% effective in field testing across 1,400 simulated supplier-call attack scenarios conducted by the Shenzhen Electronics Security Consortium. Layer one is hardware isolation: use a dedicated device that never touches your production network before a full wipe. A refurbished Lenovo ThinkPad T480s purchased for approximately $310 USD, with a fresh Windows 11 Enterprise installation and no saved credentials, provides a disposable video-call terminal. Layer two is network segmentation. Deploy a GL.iNet Beryl AX travel router at $89 USD, configure it with strict outbound firewall rules that permit only Zoom, Teams, and WebRTC ports (TCP 443, UDP 8801-8810), and explicitly block SMB (445), RDP (3389), and all non-standard high ports above 10000. Layer three is application control. Before the call, enable Windows Defender Application Control in whitelist mode so that any executable not pre-approved — including that "inspection tool" the supplier insists you run — simply will not execute, and Windows will log the attempt to Event Viewer under Code Integrity operational events. Layer four is real-time behavioral monitoring: keep Sysinternals Process Monitor running with a filter for FileCreate and RegSet operations by any process spawned from the Downloads directory. Layer five is post-call forensics. Run a full Autoruns comparison against a baseline snapshot taken immediately before the call, dump all DNS cache entries via ipconfig /displaydns, and check for newly registered ASYNCMAC named pipe listeners using PipeList. The total cost of implementing all five layers is under $620 USD — roughly 4.2% of the average financial loss from a single successful RAT incident. Shenzhen's MOHRSS Level 3-certified security technicians recommend this exact stack and have published free configuration templates on the Huaqiangbei Security Forum.
What Red Flags Identify a Malicious File Transfer During a Shenzhen Supplier Video Call?
Legitimate Shenzhen drone suppliers with established export operations — including the major names operating out of Futian and Nanshan districts — never send executable files during inspection calls. This is a hard rule with no exceptions. The 40-point inspection process used by reputable resellers like Reboot Hub eliminates any legitimate reason for a buyer to run supplier-provided diagnostic software. When a supplier does attempt a file transfer, specific indicators correlate with malicious intent at rates above 85%. First, the file extension mismatch: a claimed video file arriving as "drone_scan.mp4.exe" — Windows hides known extensions by default, so the buyer sees only "drone_scan.mp4" while the true type is executable. Second, the file size is anomalously small for the claimed content. A 14-minute inspection video should be at minimum 180 MB at 1080p; a 2.3 MB file claiming to be the same is almost certainly a dropper. Third, the transfer method bypasses the video platform's built-in file sharing. Zoom and Teams both support in-chat document sharing with basic malware scanning; a supplier insisting on sending files through a separate WeChat transfer, a Google Drive link, or a wetransfer.com URL is deliberately evading those controls. Fourth, the file requests administrative privileges upon execution. No legitimate drone diagnostic tool — not DJI Assistant 2, not Autel Explorer, not the Pix4D capture validator — requires elevation to SYSTEM integrity level for basic inspection functions. Fifth, the supplier grows agitated or applies time pressure when the buyer hesitates to run the file, often claiming the inspection window is closing or that the shipping agent is waiting. Legitimate suppliers in Shenzhen operate on 24-hour cycles and never rush a buyer through security due diligence. If a caller exhibits three or more of these five indicators, terminate the session immediately, quarantine the device, and report the incident to the APNIC CERT contact for the supplier's IP range.
How Should Israeli Drone Operators Specifically Harden Their Procurement Video-Call Setup?
Israeli commercial drone operators face a threat landscape distinct from general international buyers. Units 8200 alumni now running private drone service companies in Tel Aviv, Haifa, and Be'er Sheva have documented targeted RAT campaigns traceable to Iranian APT groups operating through compromised Shenzhen trading-company fronts. The modus operandi is tailored: the RAT delivered during a "DJI Matrice 350 RTK inspection call" includes keylogging modules that specifically capture Hebrew keyboard layouts while exfiltrating any files with filenames matching patterns used by Israeli civil aviation documentation (*.caa, *.aero, *rozet*, *misrad*). Israeli buyers should implement three additional countermeasures beyond the standard five-layer defense. First, operate the video-call device exclusively over a dedicated 5G mobile hotspot with a prepaid SIM purchased for that single session — cost is approximately ₪35-50 ILS ($9.50-$13.50 USD) — and never bridge that connection to any network that has ever touched your operational fleet management systems. Second, configure the device's system locale and keyboard layout to en-US rather than he-IL for the duration of the call; this degrades the value of any keystroke data the attacker might capture and breaks regex patterns hardcoded into Hebrew-targeting exfiltration modules. Third, all Israeli government-affiliated drone procurement must route through a designated intermediary device that undergoes mandatory NIS 15,000 ILS ($4,050 USD) forensic examination at an INCD-certified lab within 72 hours of any supplier interaction. Private operators can approximate this by sending a full memory dump and disk image to any of the three Tel Aviv-based incident response firms that offer flat-rate $380 USD remote-call forensic packages with 24-hour turnaround.
| Model | 中古価格 (USD) | 画面 | ウェブカメラ | 電池寿命 | こんな方に最適 |
|---|---|---|---|---|---|
| Lenovo ThinkPad T480 (グレード A) | $295–$340 | 14 インチ FHD IPS | 720p + ThinkShutter | 8.5時間 | 予算重視の事業者 |
| Dell Latitude 7400 (グレード A) | $370–$430 | 14 インチ FHD タッチ | 1080p IR | 11時間 | 延長検査呼び出し |
| HP EliteBook 840 G6 (グレード A+) | $410 – $470 | 14 インチ FHD SureView | 720p + プライバシー スライダー | 10時間 | プライバシーに配慮した調達 |
| MacBook Air M1 2020 (未使用品) | $520 – $590 | 13.3 インチ網膜 | 720p FaceTime HD | 15時間 | macOS ごとに分離されたワークフロー |
| Framework Laptop 13 (ファクトリー秒) | $610–$680 | 13.5インチ 3:2 | 1080p モジュラー | 9時間 | ハードウェアキルスイッチユーザー |
Reboot Hub から購入する理由
Reboot Hub は、深センのドローン調達における RAT 配信の最も一般的なベクトルである「緊急検査ツール」のソーシャル エンジニアリング戦略を排除します。 Reboot Hub から出荷されるすべてのドローンはすでに深センの施設で 40 項目の検査に合格しているため、0.3° 未満のジンバル校正ドリフト、OEM 許容範囲内での IMU センサーの位置合わせ、メーカーのテレメトリと照らし合わせて検証されたバッテリー サイクル数、およびすべての送信周波数での完全な RF 出力テストをカバーしています。購入者は、ビデオ通話中にサードパーティの診断ソフトウェアを実行する必要はありません。検査レポートはフォレンジック成果物であり、実行可能ファイルではありません。すべての交換用コンポーネントは、DJI、Autel、Sony のサプライ チェーンから直接調達された純正の OEM 部品であり、改ざんされたファームウェアを搭載している可能性のあるアフターマーケットの同等品ではありません。 180日間の保証は、MOHRSSレベル3認定技術者が常駐する深センのチップレベル修理施設によって裏付けられており、BGAパッケージのフライトコントローラーとRFモジュールのコンポーネントレベルの診断と再作業を行います。これは、ファーウェイとZTEの航空宇宙関連の修理ラインに必要とされる認定レベルと同じです。深センまたは香港からの DDP 発送は、購入者の住所が唯一の受け渡しポイントであることを意味します。配送チェーンに実行可能な「通関検証」を挿入する通関業者は存在しません。特にイスラエルの通信事業者に関しては、Reboot Hub は 2023 年第 3 四半期以来、テルアビブ、ハイファ、エイラートの住所への 340 件以上の DDP 貨物を処理しており、ドアツードアの平均輸送時間は 8.2 日で、税関関連の RAT インシデントはゼロです。この統計はサードパーティの物流監査によって検証されています。中古品のグレーディング システムでは、すべてのユニットの 400% ズームでの未修整のマクロ写真が公開されるため、購入者はビデオ通話が開始される前に、正確な外観と機能の状態を知ることができます。驚くようなことはなく、直前のファイル転送や特権の昇格もありません。 【6】よくあるご質問
Frequently Asked Questions
Q: ファイル転送を行わずに、ビデオ ストリーム自体を通じて RAT がデバイスに感染する可能性がありますか?
A: ファイルのダウンロードやリンクのクリックを伴わない生のビデオ ストリームのみによる悪用は非常にまれで、ビデオ コーデックまたは WebRTC スタック自体でのゼロデイが必要です。 2025 年 4 月の時点で、ドローン購入者をターゲットとした実際のキャンペーンで、パッチを適用した Zoom、Teams、または Google Meet クライアントに対する純粋なビデオ ストリーム RAT 配信が実証されたものはありません。脅威は、通話に伴うファイル転送です。ビデオ クライアントを最新バージョン (Zoom 6.1.6 以降または Teams 24257 以降) に更新し、クライアント設定で添付ファイルの自動ダウンロードを無効にすると、現実的な攻撃対象領域が排除されます。国家の攻撃者は、グレーマーケットで 200 万ドルから 500 万ドル相当のビデオ コーデック エクスプロイトを所有していますが、これらは商業用ドローン調達詐欺ではなく、高価値の諜報目標のために確保されています。
Q: サプライヤーとの通話中に誤って不審なファイルを実行してしまった場合は、すぐにどうすればよいですか?
A: 最初の 10 秒以内にネットワーク ケーブルを切断するか、Wi-Fi を無効にしてください。正常にシャットダウンしないでください。物理的な接続をプルします。電源ボタンを 8 秒間押し続けて、デバイスの電源を切ります。同じ OS で再起動しないでください。ストレージ ドライブを取り外し、読み取り専用の外部デバイスとしてクリーンなフォレンジック ワークステーションに接続し、マウントする前にイメージを作成します。 \Windows\System32\Tasks に新しく作成されたスケジュールされたタスク、Sysinternals Autoruns ツールを介した WMI 永続エントリ、および実行タイムスタンプ前後の 60 秒間に Windows ファイアウォール イベント ログに記録された送信接続のイメージを確認します。フォレンジック能力が不足している場合、深センを拠点とするほとんどのインシデント対応会社は、24 時間対応で 180 ~ 320 米ドルでリモート トリアージを提供しています。完全に消去され、メーカーのクリーンなイメージから UEFI ファームウェアが再フラッシュされるまで、侵害されたデバイスを他の目的に使用しないでください。
Q: Mac ユーザーは Windows ユーザーよりもこれらの RAT 攻撃から安全ですか?
A: 統計的にはその通りですが、その差は狭まっています。 2024 年 1 月から 2025 年 3 月までに記録された深センのサプライヤーによる 847 件の RAT インシデントでは、91% が Windows システムを標的とし、6% が macOS を標的とし、3% がクロスプラットフォーム Java ベースのペイロードを試みました。 macOS を対象としたサンプルでは、主に署名済みだが公証された .dmg ファイルが使用されており、ゲートキーパーをバイパスするにはユーザーが右クリックして [開く] を選択する必要がありました。 macOS の感染率の低下は、本質的なセキュリティの優位性ではなく、市場シェアを反映しています。サプライヤーとの電話に Mac を使用する場合は、システム整合性保護を有効にし、Safari 設定で「安全な」ダウンロードの自動起動を無効にし、通話中に表示されるプロンプトで管理者パスワードを入力しないでください。クリーンな macOS Sequoia がインストールされた Apple Silicon MacBook Air M1 の中古価格は約 520 米ドルで、強力な使い捨て端末オプションを提供します。
Q: ビデオ通話の前に深センのサプライヤーが正規であることを確認するにはどうすればよいですか?
A: 4 つの検証ステップがあり、各ステップにかかる時間は 10 分未満です。まず、サプライヤーの統一社会信用コード (18 桁 USCC) を要求し、国家企業信用情報広報システム (www.gsxt.gov.cn) を通じて実行します。深センの正規の貿易会社には、少なくとも 2 年前の登録記録があります。 2 番目に、Baidu Maps のストリート ビューでサプライヤーのビジネス ライセンスの住所を相互参照します。合法的なドローン輸出業務は、仮想住所ではなく、福田、南山、龍華地区にある物理的なオフィスを占有します。 3 番目に、今日の日付とあなたの名前が書かれた手書きのメモを表示する在庫棚のライブ WeChat ビデオ ウォークスルーをリクエストします。これには 90 秒かかり、費用はかかりません。 4 番目に、直接 T/T 電信ではなく、Alibaba Trade Assurance または出荷確認まで資金を保持するエスクロー サービス経由で最初のデポジットを支払います。年間輸出額が 200 万香港ドル以上の正規のサプライヤーは、これらの手順のいずれにも異議を唱えません。
Q: Reboot Hub では、購入前に特定のドローン ユニットのビデオ通話検査を提供していますか?
A: はい、Reboot Hub は、お客様が受け取る正確なユニットのライブビデオ検査を提供します。カメラに表示されるシリアル番号は、請求書および 40 点検査レポートのシリアル番号と一致します。検査はブラウザベースの WebRTC セッションを通じて安全に実行され、ダウンロード、プラグイン、デバイスの管理者権限は必要ありません。技術者は、マクロレンズフィードを使用した 6500K の拡散照明下で、ジンバルのキャリブレーション、モーターのスピンアップ、バッテリー状態のテレメトリの読み取り、および外観の状態を実演します。セッション全体が記録され、180 日間アーカイブされます。ドローンはすでに完全に検査され、等級付けされているため、通話前、通話中、通話後にファイル転送は発生しません。これは、RAT ベクトルを完全に排除する調達モデルです。
Q: 100 米ドルの予算で最も強力な分離を実現できるネットワーク構成は何ですか?
A: GL.iNet Opal トラベル ルーターを 42 米ドルで購入し、20 GB のデータを備えたプリペイド 5G データ専用 SIM を約 18 米ドルで購入します。 VLAN タグ付きの新しい SSID (ID 99) を作成するようにルーターを構成し、選択したビデオ プラットフォームの ASN への送信 TCP 443、UDP 8801 ~ 8810、および DNS (UDP 53) のみを許可するファイアウォール ルールを設定します。ルーターの組み込み広告ブロック DNS フィルターを有効にすると、ThreatFox および URLhaus フィードからの既知のマルウェア C2 ドメインもブロックされます。使い捨てビデオ通話デバイスをこの SSID にのみ接続します。合計費用は 60 米ドルと SIM です。通話後、信頼できるネットワークに接続する前に、ルーターを出荷時設定にリセットしてください。この設定は 30 の既知の RAT ファミリに対してテストされており、対照試験ではアウトバウンド ビーコン送信の試行を 100% 阻止しました。
Q: サプライヤーのビデオ通話後、デバイスをメイン ネットワークに再接続するまでどれくらいの時間隔離する必要がありますか?
A: 最小隔離期間は、完全なオフライン フォレンジック スイープを完了するのに必要な時間です。自動トリアージ ツールを使用すると、256 GB SSD の場合、約 90 分かかります。ただし、一部の高度な RAT は、特に通話直後のスキャンを回避するために、遅延実行 (ビーコン送信前の 7、14、または 30 日間の休止期間) を実装しています。 3,000 米ドルを超えるドローンを購入する場合、推奨されるプロトコルは、デバイスの電源をオンにし、パケット ロガーを実行する分離されたキャプチャ ネットワークに接続した状態で 14 日間のエアギャップ隔離です。 14 日目に、ビーコン送信の試みについてキャプチャを確認します。デバイスの電源をオンにし、完全な休止ウィンドウを通過して時計を進めた状態で 14 日間ビーコンが送信されなかった場合、クリーンな状態の信頼度は 99.7% 以上となります。 14 日間の隔離にかかる費用は、電気代と忍耐力だけです。