ランサムウェアの恰好の標的！？RDPを悪用したランサムウェア攻撃とは？

はい、こんにちは、松井真也です。

今回は、ランサムウェア攻撃のなかでも、リモートデスクトッププロトコル（RDP）を悪用したランサムウェアの特徴についてお話しします！

特に在宅勤務が増えた今、この問題はますます重要になっています。では、早速見てみましょう！

RDPとは何か？

リモートデスクトッププロトコル（RDP）は、Windowsでリモート接続するときに使用するプロトコルです。接続元と接続先の約束をまとめたものです。

たとえば、家のPC（クライアント）から会社のパソコンやサーバ（ホスト）にアクセスして利用するあれです。読者の皆様も使っているかもしれないですね。クライアントでのキーボードやマウス入力がホストに伝えられて、そのホストの画面情報が届けられるという形で利用します。

また、ITサポートがリモートで問題を解決する際にも利用されていますよ。

コロナ禍の影響で在宅勤務が急増し、RDPの利用も一気に増えました！

RDPには脆弱性が潜んでいる

そんな便利なRDPですが、その反面、セキュリティリスクも高まりました。そもそもRDPは、長年にわたり攻撃のターゲットとなってきたのです。

もしRDPポート（デフォルトでは3389番）を開放した機器がインターネットにさらされていると、それが格好の標的になります。

ポートを開放することは、サービスを開放しているしている状態なわけですが、やってくるのは正当なユーザだけではないわけです。

RDPへの攻撃手法

RDP攻撃にはいくつか方法がありますが、例えば、ブルートフォース攻撃（総当たり）によって行われます。

まず、攻撃者はスクリプトを使用して3389番ポートをスキャンします。あるいは、一般に使われているサービス（https://viewdns.info/など）でも簡単に調べられます。

これで開いているポートを見つけます。あとは、そのサーバにアクセスしてえ大量のパスワードを試行して正しいものを見つけるというわけです。ログイン情報を取得できたらシステムに侵入します。

このように、シンプルな手口でも攻撃されてしまいます。

RDP攻撃の被害は？

一度、RDP接続が成功すると、攻撃者はシステムをいろいろ操作できるようになります。攻撃者にとって、ランサムウェア攻撃に展開するにあたっての重要なステップが遂げられたわけです。

このさき、権限を昇格したり、対策ソフトウェアが無効化されたり、横展開され、データが持ち出された挙句、最後にデータの暗号化されます…。

攻撃のきっかけを与えないように何とかせねば。

RDP攻撃の防御策

では、どんな対策が考えられるでしょうか？RDP攻撃を防ぐためには、一般に以下のようなセキュリティ対策を講じることが重要です。

• インターネットからRDPポートへのアクセスを遮断し、内部ネットワークのみで使用する（リスクが高いので、特段の必要がないならば、インターネット上にRDPポートを直接さらす運用は避けた方がいいです）。

• 強力なパスワードと二要素認証を導入し、ブルートフォース攻撃に対抗する。

• Host-based Intrusion Detection and Prevention System（HIDS, HIPS）を利用して、不正アクセスを検出しブロックする。

• RDPポートをデフォルトの3389番から変更し、攻撃者がポートを特定しにくくする。

• ロックアウト設定する（パスワードの試行回数を制限する）

以上、RDPに対する攻撃についてお話ししてきました。RDPは非常に便利なプロトコルですが、利用にはリスクも伴います。RDPの利用に際しては、強力な防御策を実施し、従業員に対してもセキュリティ教育を徹底していくことにしましょう！

では！

追記（2024/7/21）：
Sophos社の調べによると、デフォルトのポート番号を変更しても、RDPを通じた攻撃に対する抑止効果はない、との結論でした。

Remote Desktop Protocol: Exposed RDP (is dangerous)