2022 年 11 月 04 日 Manu Santamaría Delgado 著

在宅勤務の増加で、リモートアクセスが一般化しました。リモートワークは生産性を向上させ、場合によっては業務を容易にしますが、サイバー犯罪者にとって願ってもない侵入口となる可能性もあります。最新のベライゾン 2022 年度データ漏洩/侵害調査報告書によると、リモートアクセスの悪用は、最初の攻撃ベクトルとして 4 番目に多いという結果が出ています。

リモートデスクトッププロトコル（RDP）の重要な問題は、その設定方法です。つまりインターネット経由でアクセス可能である点です。犯罪者はインターネット上で RDP サーバを探し出しますが、およそ支障なく見つかります。オンラインでポートやプロトコルが公開されている機器を追跡するために設計された検索エンジンでは、400 万以上の RDP ポートが公開されていることがわかっています。最近では、認証を必要としないネットワークアクセスを可能にする VNC（Virtual Network Computing）デバイスが、8,000 台以上公開されているという報道がありました。最大の懸念は、その多くが重要なインフラストラクチャ組織のものであったという事実です。

Conti ランサムウェアグループのようなサイバー犯罪者は、この攻撃ベクトルからランサムウェアをネットワークに広げています。DarkSide グループが引き起こしたコロニアルパイプライン社攻撃の事件も、リモートアクセスが大きな問題に繋がった例です。この事件は、露出していた会社の VPN のパスワードを悪用することで実行されており、近年稀に見る規模のサイバー攻撃でした。

設定に欠陥があるサーバが RDP 攻撃を受けた場合のリスクとは
企業を狙うハッカーの主だった手口は、大きく分けて 3 つあります。DDoS（サービス妨害）攻撃、ランサムウェア、データ侵害です。

• DDoS 攻撃: RDP サーバは、増幅率 85.9 でこの種の脅威を増幅します。つまり、ハッカーはRDP サーバを悪用して、大量のトラフィックをターゲットに送り込み、サービスを崩壊させることができます。
• ランサムウェア: RDP を通じて組織のネットワークに侵入し、内部からスキャンして、価値の高いシステムにランサムウェアを設置することができます。この仕組みは、2020 年に最も一般的なランサムウェアの拡散方法となりました。
• データ侵害: ネットワークに侵入すると攻撃者は水平移動して、企業の重要データを流出させ、売却するか圧力をかけます。ランサムウェアでデータを暗号化した上で盗む場合もあります。

これに対しては、ネットワーク構成における優れた「サイバー衛生」習慣に基づき基本的な予防策を徹底すべきです。例えば、Windows サーバ上の RDP アクセスを保護するには、IP 経由のアクセスを制限する、VPN 経由でサーバに接続する、RDP ポートを変更するなど、いくつかの選択肢があります。

リモートアクセスやその他の侵入技術を検知し対処するための以下の予防策、プロアクティブな対策は、その有効性とゼロトラスト設計との整合性から、取り入れるべきでしょう。

• MFA: 多くの場合、パブリックインターネットアクセスによる RDP を持つサーバは、多要素認証（MFA）を有効にしていません。つまりハッカーは、アクセスしたいデバイスの IP アドレスを入力するだけで、ネットワーク内に侵入することができます。
• VPN: VPN を使用することにより、ソリューションはリモートユーザと企業ネットワークの間で、ネットワークトラフィックのための暗号化されたトンネルを作成します。VPN によって、アカウント侵害の脅威を軽減するために MFA をサポートすることも可能です。ただし、VPN は定期的にアップデートやパッチを適用していないと脆弱になるという可能性には注意が必要です。
• リモートアクセスログ: 追加対策として、リモートユーザのログイン履歴とその監査を維持することも必要です。ネットワークへの侵入が疑われる場合には、まずこれを確認します。
• EDR（エンドポイントの検知とレスポンス）セキュリティ: RDP アクセス試行の悪用を検知し、これらの高度な脅威に対処できるソリューションを導入することは、組織内のサーバやデバイスを保護する上で最も重要です。

検知とレスポンスの重要性

セキュアなリモートアクセスを立ち上げるには、従来のセキュリティソリューションを回避してくる環境寄生型攻撃のような侵入から、エンドポイントを確実に保護することが重要です。ゼロトラストモデルを使用して、さらなるレイヤーでデバイスを保護する包括的なソリューションを導入すれば、大きなアドバンテージを得ることができます。この点で WatchGuard EPDR は、マルウェアと非マルウェアベースの攻撃に対する保護を組み合わせることで、PC とサーバの両方を保護できます。ウォッチガードは EDR コンポーネントを使用して、エンドポイントを継続的に監視し、人工知能を使用してさまざまな実行プロセスを分類し、マルウェアであるか、信頼できるプロセスであるかを分類し、信頼できるプロセスのみをデバイス上で実行させ、 万が一デバイスへの RDP アクセスで侵入者が実行したプロセスがあった場合にはブロックします。このソリューションでは、RDP 攻撃を特定できることに加え、露出した RDP サーバへの総当たり攻撃が検出された IP アドレスからのトラフィックをブロックし、総当たり攻撃によってアクセスの認証情報を取得する前にインシデントを封じ込めるという予防も可能です。

さらに、WatchGuard EDR および WatchGuard EPDR ソリューションにデフォルトで含まれている脅威ハンティングサービスは、ハッカーが脆弱な RDP アクセスを悪用しようとする試みを阻止します。このサービスは、回避テクニックや異常な行動パターンについてあらゆる疑わしい挙動をプロアクティブにスキャンし、リモートアクセスが組織にとっての大惨事を引き起こすことを防ぎます。