本記事は、サイバーセキュリティの専門家に向けて、情報漏えいの被害者が得た教訓を紹介する特集の 1 つです。それぞれの記事で簡単な推奨事項を挙げていますが、その多くは企業に新たなツールの購入を強いるものではありません。
リモートデスクトッププロトコル (ターミナルサービスまたはリモートデスクトップサービスとも呼ばれる) を使用すると、リモートから他のコンピュータへ接続することができ、その場にいるのと同様に端末を操作できます。
ソフォスの 2021 年版アクティブアドバーサリープレイブックによると、インターネットを通じた企業への攻撃のうち 32% で Microsoft が提供しているリモートデスクトッププロトコル (RDP) が使われており、初期アクセスに最も使用される方法となっています。
他のリモートアクセスツールとは異なり、RDP は通常ユーザー名とパスワード以外を必要とせず、また多くの場合ユーザー名は次回からのアクセスを簡略化するために表示されたままになっています。RDP は、認証情報なしでアクセスできる脆弱性を抱えてきました。
RDP が悪用される場合、MITRE ATT&CK に記載されているいくつかの戦術が実行されることが多くあります。主なものは T1133 (外部リモートサービス:External Remote Services) です。RDP に関連するその他の MITRE ATT&CK 戦術は以下の通りです。
- T1563 – RDP ハイジャック (RDP Hijacking)
- T1021 – RDP を用いたネットワークの水平移動 (Lateral Movement using RDP)
- T1572 – RDP を通じたトンネリング (Tunneling over RDP)
- T1573 – RDP を通じたコマンドアンドコントロール (C&C) (Command and Control over RDP)
- T1078 – 正規のアカウントによる RDP の利用 (Using Valid Accounts with RDP)
- T1049 – システムネットワーク接続の検出 (System Network Connections Discovery)
- T1071 – アプリケーション層のプロトコル (Application Layer Protocol)
攻撃者に RDP セッションにログオンされるということは、実際にその人物がキーボードとマウスの前に座っているのとほぼ同じ状態になるということです。たとえ物理的には世界で最も安全なデータセンターであっても危険に晒されます。
外部に公開されている RDP については簡単な解決策があります。公開を停止することです。 ファイアウォール上の TCP 3389 番ポートをどこかに転送するのはやめましょう。また、別のポートを使用すれば解決するわけではありません。3388 番ポートを用いるなどもってのほかです。
上記の解決策を取るのは簡単なように聞こえますが、Shodan.IO (IoT のための検索エンジン) では、330 万以上の RDP 用 3389 番ポートが全世界に公開されており、簡単に発見できます。なぜこんなにも使われているのでしょうか。RDP にアクセスを許可すると、たとえばマネージドサービスプロバイダが顧客のサーバーを管理できたり、歯科医が自宅から病院のシステムにアクセスできたりするなど、リモートで迅速かつ容易にシステム管理を行えるからです。
RDP やターミナルサービスへのリモートアクセスが必要な場合は、企業ネットワークへのセキュアな仮想プライベートネットワーク (VPN) 接続 (多要素認証つき)、またはゼロトラストリモートアクセスゲートウェイを介してのみアクセスを許可するようにしましょう。
