サイバー攻撃者が企業ネットワークに入り込む「入り口」、リモートデスクトップ

個人情報流出のニュースが数多く報道される昨今ですが、その防御方法を検討する上で、まずはサイバー攻撃者の手口を知る必要があります。今回はサイバー攻撃者が企業ネットワークに入り込む一つの方法である、リモートデスクトップについてご紹介します。

FacebookTwitterLinkedIn
Doors

リモートでシステムに接続しデータ管理を可能にするソフトウェア

重要な国家機関がサイバー攻撃者による被害を受けたというニュースが流れた時、「自分は大丈夫」と、どこか他人事のように感じがちではないでしょうか。その理由として、「自分の会社は小さい会社なので、サイバー攻撃者に存在すら知られていないだろう」「自分は重要な人物じゃない」といったものが大部分ではないでしょうか。しかしこれは誤った考えです。企業や個人が手ごろな価格で簡単に使えるソフトウェアで、より多くの脆弱性が発見されているからです。ソフトウェアの脆弱性の有無が、サイバー攻撃の被害にあうかどうかの重要な分かれ目となるのです。

サイバー攻撃者が好むソフトウェアの中に、リモートデスクトップ管理ツールがあります。遠隔地に派遣されている職員および在宅勤務者や、パートタイムの外注業者をインターネットを通じて管理する為、多くの企業がリモートデスクトップ管理ツールを利用しています。またこのツールは、遠隔地から会社ネットワークに接続できるようにする通路の役割もします。リモートデスクトップ管理ツールをよく使う企業なら、サイバー攻撃者の関心の的にならざるを得ません。

サイバー攻撃者は、私達が思う以上に素早くリモートデスクトップ管理ツールをハッキングするとコンピュータ内に侵入し、データを盗み出し現金に変えます。「自分は大丈夫だ」という考えでは、この一連の速さにはついていけないでしょう。

リモートデスクトップとは?

リモートデスクトップとは、手元にあるコンピュータから、ネットワークを通じて他のコンピュータを操作できる機能です。リモートデスクトッププロトコル(Remote Desktop Protocol、以下RDP)という、遠隔からコンピュータを操作する通信プロトコルを通じてログインすると、離れた場所にいてもコンピュータを制御することが可能となります。RDPは利用がとても簡単で効率がいいので、多くの企業で活用されています。その上、Microsoft Windowsの多くのバージョンには、最初からRDPが搭載されていたりもしますが、セキュリティが万全ではないという問題もあります。

Business
Business

どのような問題があるのか?

遠隔でもコンピュータを操作できるリモートデスクトップ管理ツールは便利ですが、そこをサイバー攻撃者達が狙ってきます。ShodanやCensysといったインターネットに接続されている機器を検索できる検索エンジンを使用し、インターネットに接続されている機器の中で、脆弱な通信プロトコルを使用しているものを探します。

リモートデスクトップ管理ツールを通じて企業ネットワークに入り込んだサイバー攻撃者は、どのような行動が可能となるでしょうか?個人情報や、ログイン・クレデンシャルを盗み出し、企業内部者のIDなども持ち出せるようになります。またランサムウェアなどを設置し、直接的な資金稼ぎもできるでしょう。

許可のない外部の人が、企業の内部ネットワークに接続できるといっただけでも十分な脅威です。なのでサイバー攻撃者達の間で、リモートデスクトップ用のクレデンシャルが活発に取引されています。特にxDedicのような闇市場でよく売買されます。価格は様々で、サーバの位置、該当ソフトウェアの種類、サーバに保存されているデータの種類などによって異なります。

実際の犯罪はどのようにして行われるか?

サイバー攻撃者達にとって、パスワード保護されている装置に侵入することは特に難しい事ではありません。様々な要素がありますが、一番決定的な要素は「パスワード」それ自体です。パスワードは、根気よく代入することができれば、いつかは突破されてしまいます。代入に使用するツールが強力なものであれば、数時間程で簡単に解読されてしまうでしょう。

また業績が拡大している企業などは、従業員数も増え、それに伴い社内アカウントも増加します。さらに退職者も現れると、誰も使わないアカウントが放置され始めます。実際にサイバー攻撃者はこのような「放置アカウント」を通じ、様々な行動を起こします。どれだけパスワードの管理を徹底しても、地道な行動により突破されてしまうのです。これを防ぐためには二重、三重の認証を導入する必要があります。

実際の「現場」で活動するサイバー攻撃者達は、このパスワード解読の過程を自動化しています。ターゲットを定めさえすれば、サーバにどのようなソフトウェアが設置されているのか、OSは何なのか、どのような脆弱性があるのかを素早く把握します。もちろん、自動化して進行されます。そしてパスワード代入や、エクスプロイトまでも自動化されています。侵入に成功すれば、その侵入方法と資料をダークウェブで販売します。

次回も引き続き、リモートデスクトップ関連の話題についてお届けします。

関連記事

サイバーセキュリティで AI から企業機密を保護するShare
Apr 2025 | -
サイバーセキュリティ
サイバーセキュリティで AI から企業機密を保護する
このブログでは、AI を悪用した不正侵入から企業資産を守るために、Singtel が提供するサイバーセキュリティソリューションをご紹介します。さらに、プライベートな会話を高度に暗号化することで、いかに従業員の機密性を確保するかについても取り上げます。
従来の防御の先へ:サイバーセキュリティの再考Share
Dec 2024 | -
サイバーセキュリティ
従来の防御の先へ:サイバーセキュリティの再考
企業がデジタルトランスフォーメーション (DX) を加速させるにつれ、サイバー攻撃の巧妙さも増しています。このような脅威と戦うために、企業は先進的なサイバーセキュリティのイノベーションを模索する必要があります。ここでは、通信事業者のデータがそれにどのように役立つかをご紹介します。
MSS とサイバー攻撃からの復旧Share
Oct 2024 | -
サイバーセキュリティ, Japanese, Japan
MSS とサイバー攻撃からの復旧
ソフトウェアのエラーにより発生した大規模な IT 障害の結果として、グローバル企業の脆弱性が露呈しています。では、サイバー攻撃により同様なインシデントが発生した場合、企業は何をすべきでしょうか?最初にすべきなのは、問題の存在を認識することです。以下に、マネージドセキュリティサービス (MSS) がどのように役立つかをご紹介します。