攻撃テクニック

リモート・デスクトップ・プロトコル(RDP)攻撃

リモート・デスクトップ・プロトコル(RDP)は強力なツールですが、適切に管理しなければ重大なセキュリティ・リスクをもたらします。ここでは、最新の攻撃手法とセキュリティ向上のためのベスト・プラクティスについてご紹介します。

定義

リモートデスクトッププロトコルとは何ですか?

リモート・デスクトップ・プロトコルは、ほとんどのウィンドウズ・オペレーティング・システムに含まれており、現代の仕事において重要な役割を担っている。IT管理者が保守やサポートのために社内システムにアクセスしたり、社員が自宅から会社のネットワークに接続することで、リモートワークを可能にする。

しかし、RDPには重大なリスクが潜んでいます。その普及率と提供するアクセス・レベルにより、RDPはサイバー犯罪者の主要な標的となっている。 

仕組み

RDP攻撃の仕組み

RDPは通常、TCPポート3389で動作します。このポートは、ユーザーが企業のデバイスやシステムにリモート接続できるようにするために割り当てられたポートです。このポートは通常、割り当てられたポートであるため、攻撃者はこのポートを標的にすることを知っています。

リモートデスクトップ接続は、脆弱なクレデンシャルを活用する機会でもある。従業員は、リモート・デスクトップ・アクセス用のログインを含め、複数のデバイスやアカウントで同じパスワードを使い回しているため、クレデンシャル・スタッフィング攻撃を受けやすい。

リモート・デスクトップ・プロトコル攻撃プロセス
攻撃者がそれを使う理由

攻撃者がRDPを使う理由

攻撃者は、ネットワーク・リソースへの不正アクセスに RDP を頻繁に使用します。RDP 接続に成功すると、機密データや重要なシステムへのアクセスが可能になるだけでなく、さらなる攻撃を仕掛ける足がかりとしても利用されます。RDP は、その有用性にもかかわらず、いくつかのセキュリティ上の弱点があり、さまざまな方法で悪用されています。

  • ブルートフォース攻撃: ハッカーは、自動化されたスクリプトを使用して、RDPログイン認証情報をブルートフォースすることがよくあります。いったんアクセス権を獲得すると、攻撃者はネットワーク内で横方向に移動し、ランサムウェアを展開し、機密データを流出させることができます。
  • 露出したRDPサーバー: インターネットに公開された誤った設定のRDPインスタンスは、攻撃者にとって格好の標的です。多くの組織では、VPNやファイアウォールによる制限をかけずにRDPをオープンにしているため、攻撃に対して非常に脆弱な状態になっています。
  • ランサムウェアの配信 パスワードが脆弱であったり、アクセス制御が不十分であったりするRDPサーバーは、ランサムウェア攻撃の最初の侵入経路となることが多い
  • クレデンシャルハーベスティング: 攻撃者はRDPの脆弱性を悪用し、中間者攻撃や設定不備の認証プロトコルにアクセスすることで、認証情報を盗む可能性がある。
プラットフォーム検出

不審なRDPアクティビティを防止する方法と検知

セキュアなリモートデスクトップは、セキュリティ侵害や不正アクセスを防止するために極めて重要です。 

RDPに関連する侵害のリスクを軽減するために、組織は次のことを行うことができます:

  • RDPの露出を制限する: VPNまたはZTNA(Zero Trust Network Access)を使用して、RDPサービスをインターネットから遮断する。特に、攻撃者がRDPのオープン・ポートをスキャンできる環境では、RDPを直接公開することは大きなリスクとなります。
  • ファイアウォールルールによって、IPアドレスをジオブロックしたり、RDPセッションの開始を許可するIPを制限する。
  • 多要素認証(MFA)の実施:RDPログインにMFAを要求し、クレデンシャルの盗難やブルートフォース攻撃に対する保護レイヤーを追加します。MFAは、パスワードが漏洩した場合でも、攻撃者が第2の認証要素を必要とすることを保証します。
  • ネットワークレベル認証(NLA)を有効にする:NLA は、RDP セッションを確立する前に、ユーザに認証を強制します。NLAは、正当なユーザのみが接続できるようにするため、不正アクセスを軽減するための重要なステップです。
  • パスワード・ロックアウト・ポリシーを使用する:何度かログインに失敗すると、一時的にログインをブロックする。

しかし、セキュリティの向上には、予防以上のものが必要である。パスワードの強制やパッチでは、あらゆる攻撃の試みを抑えることはできない。このため、さらなるセキュリティ対策が不可欠です。最も重要なことは、RDP接続を確立しようとする異常な試みを迅速に特定する信頼性の高い方法が、すべての組織に必要であるということです。

Vectra AIのSuspicious Remote Desktop Protocol検出は、通常のRDP使用パターンからの逸脱を識別します。たとえば、次のような場合です:営業時間外に社内のサーバーが外部IPアドレスから複数のRDPログイン試行を受信したり、見知らぬ場所からの接続要求が突然急増したりすると、これらのアクティビティは自動的に警鐘を鳴らすことになります。これらの検知は、高度なAIと機械学習を使用して自動的にトリアージ、相関、分析されるため、セキュリティアナリストはさらなる調査が必要なタイミングを迅速に判断することができます。

よくあるご質問(FAQ)