サイバー攻撃者が企業ネットワークに入り込む「入り口」、リモートデスクトップ

重要な国家機関がサイバー攻撃者による被害を受けたというニュースが流れた時、「自分は大丈夫」と、どこか他人事のように感じがちではないでしょうか。その理由として、「自分の会社は小さい会社なので、サイバー攻撃者に存在すら知られていないだろう」「自分は重要な人物じゃない」といったものが大部分ではないでしょうか。しかしこれは誤った考えです。企業や個人が手ごろな価格で簡単に使えるソフトウェアで、より多くの脆弱性が発見されているからです。ソフトウェアの脆弱性の有無が、サイバー攻撃の被害にあうかどうかの重要な分かれ目となるのです。

サイバー攻撃者が好むソフトウェアの中に、リモートデスクトップ管理ツールがあります。遠隔地に派遣されている職員および在宅勤務者や、パートタイムの外注業者をインターネットを通じて管理する為、多くの企業がリモートデスクトップ管理ツールを利用しています。またこのツールは、遠隔地から会社ネットワークに接続できるようにする通路の役割もします。リモートデスクトップ管理ツールをよく使う企業なら、サイバー攻撃者の関心の的にならざるを得ません。

サイバー攻撃者は、私達が思う以上に素早くリモートデスクトップ管理ツールをハッキングするとコンピュータ内に侵入し、データを盗み出し現金に変えます。「自分は大丈夫だ」という考えでは、この一連の速さにはついていけないでしょう。

リモートデスクトップとは、手元にあるコンピュータから、ネットワークを通じて他のコンピュータを操作できる機能です。リモートデスクトッププロトコル（Remote Desktop Protocol、以下RDP）という、遠隔からコンピュータを操作する通信プロトコルを通じてログインすると、離れた場所にいてもコンピュータを制御することが可能となります。RDPは利用がとても簡単で効率がいいので、多くの企業で活用されています。その上、Microsoft Windowsの多くのバージョンには、最初からRDPが搭載されていたりもしますが、セキュリティが万全ではないという問題もあります。

遠隔でもコンピュータを操作できるリモートデスクトップ管理ツールは便利ですが、そこをサイバー攻撃者達が狙ってきます。ShodanやCensysといったインターネットに接続されている機器を検索できる検索エンジンを使用し、インターネットに接続されている機器の中で、脆弱な通信プロトコルを使用しているものを探します。

リモートデスクトップ管理ツールを通じて企業ネットワークに入り込んだサイバー攻撃者は、どのような行動が可能となるでしょうか？個人情報や、ログイン・クレデンシャルを盗み出し、企業内部者のIDなども持ち出せるようになります。またランサムウェアなどを設置し、直接的な資金稼ぎもできるでしょう。

許可のない外部の人が、企業の内部ネットワークに接続できるといっただけでも十分な脅威です。なのでサイバー攻撃者達の間で、リモートデスクトップ用のクレデンシャルが活発に取引されています。特にxDedicのような闇市場でよく売買されます。価格は様々で、サーバの位置、該当ソフトウェアの種類、サーバに保存されているデータの種類などによって異なります。

サイバー攻撃者達にとって、パスワード保護されている装置に侵入することは特に難しい事ではありません。様々な要素がありますが、一番決定的な要素は「パスワード」それ自体です。パスワードは、根気よく代入することができれば、いつかは突破されてしまいます。代入に使用するツールが強力なものであれば、数時間程で簡単に解読されてしまうでしょう。

また業績が拡大している企業などは、従業員数も増え、それに伴い社内アカウントも増加します。さらに退職者も現れると、誰も使わないアカウントが放置され始めます。実際にサイバー攻撃者はこのような「放置アカウント」を通じ、様々な行動を起こします。どれだけパスワードの管理を徹底しても、地道な行動により突破されてしまうのです。これを防ぐためには二重、三重の認証を導入する必要があります。

実際の「現場」で活動するサイバー攻撃者達は、このパスワード解読の過程を自動化しています。ターゲットを定めさえすれば、サーバにどのようなソフトウェアが設置されているのか、OSは何なのか、どのような脆弱性があるのかを素早く把握します。もちろん、自動化して進行されます。そしてパスワード代入や、エクスプロイトまでも自動化されています。侵入に成功すれば、その侵入方法と資料をダークウェブで販売します。

次回も引き続き、リモートデスクトップ関連の話題についてお届けします。