リモートデスクトップ接続には十分にご注意を!


■リモートデスクトップ接続には十分にご注意を!

リモートデスクトップ接続は、

自身が手元でログインしているパソコン上で、

リモート接続されているパソコンの

デスクトップ画面を共有し、

その画面上で操作することで、

リモート接続されている側のパソコンを

自由に操作できるものである。

このため、このリモートデスクトップ接続を

他者に利用されてしまうと、

リモート接続されている側のパソコンが

完全に乗っ取られてしまう。

利便性は高い一方で、

セキュリティに十分配慮して用いないと、

非常に危険な代物となる。

このため、攻撃者にはよく狙われるポイントなのだが、

現実的にどれぐらい攻撃されるのだろうか?

また、攻撃されると、なんでもできるとはいえ、

具体的どんなことをやられてしまうのだろうか?

そんな内容が非常にわかりやすく、

かつ詳細に記載されている体験記事があったので、

以下に紹介する。



その記事はこちら。

簡単なパスワードでRDPを空けておいたら、数時間でハッキングされマイニングツールを仕込まれた話

リモートサポートのため、

RDP でよく使われる 3389 ポートを開放し、

管理者パスワードを簡単なものに変えたら、

わずか 6 時間で乗っ取られてしまった、

という内容。

実際に乗っ取られるとどうなるか、

どうやって乗っ取られたのか、

その調査はどのようにすればよいか、

など、非常に興味深い内容が

実体験に基づいて詳細かつわかりやすく記載されている。

こういった事例を出してもらえると、

他の人に注意喚起する際にも、

危ないですよ、危険ですよ

というだけでなく、

実際にわずか 6 時間で乗っ取られた例がありますよ

と事例を通じて話すことができるので、

非常にありがたい。

詳細な内容を公開してくださった筆者の方に感謝。

しかし、著名な企業のサーバーでもないのに、

ちょっと RDP を有効にしていただけで、

こうも簡単にやられてしまうものなのだろうか?

もちろん、実際にやられた、という記事なので、

やられてしまっているのだが、これは

誰にでも起こりうることなのだろうか?

ということで、リモートデスクトップ接続に関する

攻撃の状況をもうちょっと調べてみた。



RDP は攻撃者に常に狙われている状況である

2019 年 6 月 24 日に

警視庁が発表した注意喚起によれば、

リモートデスクトップサービスに対する

アクセスが増加している、ということであった。

脆弱性のあるリモートデスクトップサービスを探索するアクセスが増加(警察庁) 1枚目の写真・画像

このグラフによれば、多い時で一日に

40,000 IP address

からアクセス試行があったことになる。

少ない時でも数百はあるように見える。

また、JPCERT/CC の

インターネット定点観測(RDP)

を見ても、1 時間あたり 2 から 3 回の

スキャンがカウントされている。

telnet の 23 番などに比べれば

1/10 程度と随分少なく感じるが、

インターネット上では、恒常的に

スキャンされているポート番号だといえるだろう。

すなわち、それだけ狙われているということになる。

ということで、インターネット側から

アクセスできる状況でリモートデスクトップを

立ち上げていれば、かなりの確率で

スキャンされ、狙われる状況になる、

ということが言えるかと思う。



スキャンで特定されてしまえば、攻撃ツールを使われる

一旦スキャンでリモートデスクトップが

立ち上がっていることが特定されてしまうと、

当然攻撃対象として狙われることになる。

攻撃の一つの手段としては、

設定してあるパスワードを特定する

というのがある。
*パスワード未設定は論外として。

具体的には、本サイトでも紹介している

hydra などのパスワード特定ツールの他、

RDS 用のツールである NLBrute という

のもある模様。

ランサムウェアの拡散に悪用される RDP (リモートデスクトッププロトコル)

ということで、簡単なパスワードを設定していると、

こういったツールで容易に乗っ取られてしまう。

最近は脆弱性の利用がメイン?

上述のように、

パスワードを特定してアクセス権を得る、

という方法もあるが、

最近は、RDS に関する影響の大きい脆弱性が

再び発見されており、攻撃用プログラムも

存在するため、そういったものが

利用されることも多いようである。

RDPの脆弱性を標的とした「BlueKeep/GoldBrute」による攻撃

ということで、

リモートデスクトップサービスを立ち上げている場合、

攻撃の標的となる可能性はかなり高く、

かつセキュリティ対策が不十分な場合、

現実的に乗っ取られてしまう恐れが十分にある、

ということが言えるかと思う。

相変わらずなかなか恐ろしい世の中だ。



どのように対策すればよい?

では、対策はどうすればいいのだろうか?

最も簡単かつ有効な対策は、

「そもそも使わない」

である。

RDS を使う必要が本当にあるのかどうか、

公開鍵設定の SSH ではだめなのか、

などなど、必要性や代替策の有無を今一度吟味し、

使う必要がそこまでないのであれば、

使わないようにしてしまうのが一番良いだろう。

とはいえ、機能としては非常に便利だし、

使わないわけにはいかないから

使っているのだ、という状況も多いだろう。

そんな場合にやることの第一歩は、

「インターネットに公開しない」

だろう。

インターネット側からアクセスできるように

していると、上述のようにスキャンで特定され、

各種ツールや脆弱性を使って攻撃される可能性が高い。

これが無差別に行われている以上、

インターネット側からアクセスできないように

しておく必要があるだろう。

とはいっても、インターネット側から

アクセスしたいことも多々あるとは思われる。

そのような場合、リモートデスクトップ自体は

ローカルネットワーク(LAN)からのみ

アクセスできるようにしておき、

インターネットから LAN に VPN で接続した上で

リモートデスクトップ接続を利用する、などである。

そういったことを考慮して使うべきだろう。

じゃぁ、LAN 内なら安全か、と言われると、

当然そうとは言い切れない。

環境によっては、LAN 内に攻撃者が

いないとは限らないし、ウィルスが潜んでいる

可能性もある。

このため、上述の対策に加え、

「使いまわしていない、強固なパスワードを設定する」

「脆弱性対策のパッチを常に適用する」

ということを実施しておくことが必要。

こういった対策を実施した上で、

「利用しないときはサービスを止める」

など、攻撃の機会を減らすことも重要だと思う。

ということで、

今回はリモートデスクトップ接続について、

そのリスクや対策を記載してみた。

冒頭の記事にあるように、

ちょっとセキュリティ設定を甘くしただけでも

すぐにやられてしまう現状がある以上、

利用時には十分な注意を払い、

しっかりと対策しておくことが、

非常に重要だと思う。




Copyright (c) 2017 Webmaster of this site All Rights Reserved.
カテゴリー: ブログ タグ: , パーマリンク