singtel logo
法人のお客さま
製品・サービス
導入事例
ブログ
企業情報
お知らせ
お問い合わせ

サイバー攻撃者、リモートデスクトッププロトコルでランサムウェアを直接設置

前回、サイバー攻撃者が企業ネットワークに入り込む一つの方法であるリモートデスクトップについてご紹介しました。今回は、リモートデスクトップと関連したサイバー攻撃者の攻撃方法などについて見ていきます。

FacebookTwitterLinkedIn
Brainstorming

RDPを使ってランサムウェアを直接設置する攻撃

サイバー攻撃者達は、古い攻撃方法を新たなものに改変して、攻撃へ利用したりもします。一部のサイバー攻撃者達がMicrosoftのリモートデスクトッププロトコル(Remote Desktop Protocol、以下RDP)サービスを活用して、Windowsネットワークに侵入しランサムウェアを設置する攻撃をし始めました。

イギリスのサイバーセキュリティ会社の報告によると、このような攻撃方法が増えつつあるそうです。被害者の大部分は、Windowsネットワークを遠隔管理する仕事を外部に依頼していたことが判明しました。

フィッシング攻撃などを通じてマルウェアが大量にばらまかれる一般的なランサムウェア攻撃とは違い、今回の攻撃はWindowsシステムへ一つ一つ侵入しながらRDPアクセスを使用し、手動でランサムウェアを設置します。

インターネット上にリモートデスクトップサーバが流出しないよう細心の注意を

比較的小規模な企業の場合、IT関連のサービスを受ける唯一の窓口がRDPである場合が多い、と報告で指摘します。RDPを利用すれば、他の都市や、国外にあるサードパーティ製のWindowsネットワークに遠隔から接続し、これをローカルユーザーとほぼ同様のレベルで制御できるようになります。RDPは便利なツールですが、リモートデスクトップサーバが流出した状態でそれを放置したとしたら、サイバー攻撃者達が総当たり攻撃(brute force attack)を行い、企業ネットワーク内へ侵入してくる可能性もあります。

リモートデスクトップサーバがインターネット上に流出しているということは、どこからでもアクセスできるように許可する、ということを意味します。これには、他の企業、都市、国からのユーザーなどが含まれます。どのようなコンピュータでも、どのようなモバイル機器でも、インターネットでパケットを外部へと送信できれば、自身のサーバでも接続が可能となるのです。

Meeting Room
Meeting Room

自動化された攻撃が遮断されると、手動でランサムウェアを設置し始める

最近、サイバー攻撃者達が無防備な状態のRDPシステムを探すため、ShodanやCensysといったインターネットに接続されている機器を検索できる検索エンジンを使用している痕跡が見受けられました。その後サイバー攻撃者達はNLBruteなどのツールを使用し、RDPのパスワードを推測し代入したり、総当たり攻撃を実施しシステムへの侵入を試みます。

RDPを利用する多くの企業が、RDPアクセス処理用として準備されたコンピュータを保持していたり、RDPユーザーをメインサーバに直接アクセスできるように許可している状態だと言います。サイバー攻撃者達がShodanなどを通じて開いているポートを見つけ出した後、ネットワーク内のどこかにあるRDPへと移動していきます。

RDPを狙った攻撃は以前にもありました。現在との違いは、サイバー攻撃者達がシステムにランサムウェアを設置する為、RDPアクセスをより多く利用するようになってきている点です。確認された攻撃の事例を見ると、サイバー攻撃者達はランサムウェアを設置する前に予めネットワークに接近し、セキュリティ設定を変更したり、無効化する為に一連の処理を行っていた、と攻撃を分析したイギリスのサイバーセキュリティ会社は説明します。

このような前処理の中には、シャットダウン無効プロセスを遮断すること、隠しファイルを削除すること、構成設定を変更すること、アンチマルウェアツールを無効化すること、データベースサービスをオフにすること、バックアップファイルを削除することなどがありました。システムが最大限に脆弱になるように操作した後には、サイバー攻撃者達は該当システムへ様々なランサムウェアの設置ができるようになります。

アメリカの調査会社であるガートナー社によると、RDPを通じて総当たり攻撃を行いシステムに侵入する為に、サイバー攻撃者は数年間に渡ってNLBruteというツールを使用してきた、と話します。また、NLBruteの使い方に関するYouTube動画も存在する、と指摘しました。

しかしガートナー社は、システムにランサムウェアを設置する為にRDPを使用することは新たな攻撃方法だと言います。続けて「このような攻撃を見ると、以前に起こったオンラインバンキング攻撃が思い出される。銀行側が自動化された攻撃や大規模な攻撃を防ぐ為により強力なセキュリティ制御を実行すると、サイバー攻撃者達は1度に1人のユーザーをターゲットにして、RDPを利用した手動の攻撃をし始めた。」と付け加えました。

このようなRDPを利用した攻撃が、組織にとって大きな脅威になり得ます。エンドポイントセキュリティの場合、このような攻撃に対処するにはそこまで効果的ではありません。RDPを通じて侵入してくる攻撃は手動で行われますが、エンドポイントセキュリティは大部分が悪性ファイルを検索したり、自動化された攻撃を遮断するのが主な役割の為です。

RDPを使用する時は二重の認証を

RDPを使用しようとする企業は、該当アクセスが必要なものなのかを再度検討する必要があります。WindowsコンピュータへRDPアクセスを行うということは、Linuxサーバへセキュアシェル(SSH)を許可することとほぼ同じだと言えます。そのRDPアクセスに明確な必要性があるのなら、使用をためらう理由はありません。しかし最低限、強力なパスワードや二重認証といったセキュリティ対策は必須です。間違ったパスワードが一定回数以上入力された場合は、ロックをかけるといった設定も行いましょう。また可能であれば、RDPを利用する時にはVPN接続を行い、直接的なインターネットアクセスを避けるのも効果的です。

RDPは正しく使えば非常に便利なサービスです。上記のようなセキュリティ対策を施した上、不正なアクセスが無いように注意しながら使用することが重要です。

関連記事

サイバーセキュリティで AI から企業機密を保護するShare
Apr 2025 | -
サイバーセキュリティ
サイバーセキュリティで AI から企業機密を保護する
このブログでは、AI を悪用した不正侵入から企業資産を守るために、Singtel が提供するサイバーセキュリティソリューションをご紹介します。さらに、プライベートな会話を高度に暗号化することで、いかに従業員の機密性を確保するかについても取り上げます。
続きはこちら
従来の防御の先へ:サイバーセキュリティの再考Share
Dec 2024 | -
サイバーセキュリティ
従来の防御の先へ:サイバーセキュリティの再考
企業がデジタルトランスフォーメーション (DX) を加速させるにつれ、サイバー攻撃の巧妙さも増しています。このような脅威と戦うために、企業は先進的なサイバーセキュリティのイノベーションを模索する必要があります。ここでは、通信事業者のデータがそれにどのように役立つかをご紹介します。
続きはこちら
MSS とサイバー攻撃からの復旧Share
Oct 2024 | -
サイバーセキュリティ, Japanese, Japan
MSS とサイバー攻撃からの復旧
ソフトウェアのエラーにより発生した大規模な IT 障害の結果として、グローバル企業の脆弱性が露呈しています。では、サイバー攻撃により同様なインシデントが発生した場合、企業は何をすべきでしょうか?最初にすべきなのは、問題の存在を認識することです。以下に、マネージドセキュリティサービス (MSS) がどのように役立つかをご紹介します。
続きはこちら
さらに表示する
© Singtel (CRN: 199201624D) All Rights Reserved.