RDP（リモートデスクトッププロトコル）攻撃を防ぐ方法？

RDPはT-120プロトコルファミリーの標準に基づいており、マイクロソフトがネットワーク経由で他のコンピューターにリモート接続・制御することを可能にしたことで初めて注目されました。ネットワーク通信を保護し、ユーザーが遠隔からデスクトップを操作できるようにします。

しかし、RDPにはリスクが伴います。不正アクセスを得るために悪用される可能性があります。登場以来16回の主要なWindowsリリースが行われており、脅威アクターがこれを乗っ取り、Windowsサーバーやデバイスへのリモートアクセスを得る機会は数多く存在してきました。本ガイドでは、RDP攻撃を防ぎ、保護を維持する方法をご説明します。

RDP（リモートデスクトッププロトコル）攻撃とは？

RDPはマイクロソフトが開発した通信接続プロトコルで、ユーザーがデスクトップデバイス（またはMicrosoft OS搭載デバイス）を遠隔操作することを可能にします。リモートデスクトップ接続はTCP（伝送制御プロトコル）ポート3389を使用し、これがリモート接続の主要なハブとなります。脅威アクターが暗号化された通信経路を侵害し制御を奪取する行為を、リモートデスクトッププロトコル攻撃と呼びます。

RDP攻撃の仕組みを簡潔に解説します：

• 攻撃者はまずRDPポートのスキャンを開始します。アクティブなデバイスが接続されている場合、それらはネットワークへの侵入経路となります。脅威アクターはこのポートを介してネットワークへのブルートフォース攻撃を行い、大量のRDP接続を悪用する可能性があります。
• 初期侵害に成功した後、攻撃者はサブネット単位でネットワーク全体をスキャンし、侵入をエスカレートさせます。分散コンピューティング環境上の複数のエンドポイントに対して Windows Management Instrumentation™ 接続やリモートプロシージャコールを使用し、さまざまな攻撃を仕掛ける可能性があります。
• デバイスが侵害されると、攻撃者はその制御権を奪います。コマンド＆コントロールインターフェースを使用して、インフラストラクチャ内の他のエンドポイントやネットワークにコマンドを送信します。攻撃者は侵害したマシンを利用して、非標準ポートへの新たなRDP接続を作成できます。
• 攻撃者がこの段階に達すると、ネットワーク内を横方向に移動し、企業内部への侵入をさらに深めることが可能になります。より高い特権へのアクセス権を取得し、機密データを取得し、高価値リソースの所有権を奪取できます。この段階に達すると、組織の最新セキュリティスタックによる検知も回避できるようになります。

サイバー犯罪者はどのように RDP を悪用するのか？

RDP 攻撃は、特に分散型労働力やサードパーティの契約者を標的にしています。コンピューター集約型リソースを乗っ取ることは非常に価値が高く、RDP を使用すると Windows サーバーやセッションへのアクセスをよりよく把握することができます。

従来の RDP には、今日私たちが知っているようなセキュリティおよびプライバシー対策は備わっていなかった。ユーザー認証に必要なのは、ユーザー名とパスワードの組み合わせだけだった。RDPにはデフォルトで多要素認証が組み込まれていませんでした。

不正なRDPアクセスを検出する方法

不正なRDPアクセスを検出するための手順は以下の通りです：

• RDPログを確認し、異常な動作や悪意のある活動の兆候を探します。ログインの失敗、頻繁なログイン、認識できない IP アドレスからのログインを探します。これらの試みは、ハッカーがシステムにアクセスしようとしたことを示しています。
• SentinelOne などのネットワーク監視ツールを使用して、ネットワークトラフィックを調査および分析することができます。ネットワークの異常や不自然なトラフィックパターンを探し、特定の IP アドレスとの間で大量のデータが送受信されていないか確認してください。
• 問題が発生している場合、ポート 3389 のアクティビティが急増します。ネットワークトラフィックを記録・監視し、スキャンして不正なアクセス試行を特定してください。

RDP攻撃を防ぐベストプラクティス（10項目以上）

順を追って実践すべき対策の一部をご紹介します。これらを実施すれば、RDP 攻撃の防止方法を理解できます。

• 特殊文字、数字、英字、記号を組み合わせて非常に強力なパスワードを作成してください。15 文字以上の長さを推奨します。また、パスワードはランダムに作成し、すべてのアカウントで同じパスワードを再利用しないでください。パスワードの記憶や管理が困難な場合は、パスワード管理ツールを利用してください。
• クライアントおよびサーバーソフトウェアの全バージョンに対し、Microsoft更新プログラムを自動適用してください。設定が有効化され、手動操作なしでバックグラウンド更新が実行されることを確認してください。また、既知の公開エクスプロイトによるRDP脆弱性へのパッチ適用を優先すべきです。
• 多要素認証を導入し、最新のアカウント監視ポリシーを活用してブルートフォース攻撃に対抗してください。安全性を高めるため、デフォルトのRDPポート3389を別のポートに変更することも推奨します。
• 接続の許可リスト方式を採用し、特定の信頼済みホストに限定してください。リモートデスクトップポートへのアクセスを、選択済みかつ検証済みのIPアドレスのみに制限することを推奨します。サーバー設定を変更すると、許可リストの範囲外にあるIPアドレスからの接続試行を自動的に拒否します。これにより悪意のある試行やプロセスが自動的にブロックされます。
• ゼロトラストネットワークセキュリティアーキテクチャ（ZTNA）を構築し、全アカウントに最小権限アクセス原則を適用してください。定期的な点検を実施し、すべてのRDPポートが安全に保たれていることを確認することが重要です。
• ファイアウォールを導入し、RDP接続へのアクセスを制限してください。また、RDP ファイアウォールの例外ルールに会社の仮想プライベートネットワークアドレスプールを追加する必要があります。新しい RDP 接続を確立する前に、ネットワークレベルの認証を有効にしてください。
• サポートされていないプラットフォームでリモートデスクトップクライアントを使用している場合は、NLA なしで接続を受け入れるようにリモートデスクトップサーバーを設定してください。グループポリシー設定を確認し、すべてのリモート接続に対してユーザー認証を必須にしてください。
• アカウントロックアウトポリシーを設定することもできます。不正な推測が一定回数行われた場合、ハッカーが自動化されたパスワード推測ツールを使用して不正アクセスを行うことを防止します。最大 3 回の不正な試行を設定でき、ロックアウト期間はそれぞれ 3 分です。
• 高度な AI 脅威検出およびマルウェア対策ソリューションを使用します。バックグラウンドスキャンプロセスとエンドポイントセキュリティ監視を設定し、デバイス、ネットワーク、ユーザーを常に監視します。これにより内部者攻撃やシャドーIT攻撃を防止し、追加の保護層を追加できます。
• 従業員に対し、失敗したRDP接続やアクセス試行を認識する方法を教育します。必要に応じて匿名での報告を奨励し、職場における透明性の文化を促進しましょう。従業員が積極的に関与すれば、チーム全体が同じ認識を持つことができます。すべての部門がRDP攻撃の防止方法を知り、攻撃者が制御権や特権をエスカレートさせる手順を認識している必要があります。防御のための自動化ツールやワークフローを利用する前に、まずこれらの技術を利用するユーザーを保護することから安全は始まります。

RDP攻撃への対応方法とは？

SentinelOne Singularity XDRプラットフォームを活用し、インシデント調査を自動化するとともに、RDPプレイブックのベストプラクティスを適用してください。SOCチームの対応を迅速化できます。RDP感染を受けた場合の対応手順は以下の通りです：

• 侵害されたユーザーと攻撃者のIPアドレスを発見次第、直ちにブロックしてください。これにより脅威を封じ込め、隔離できます。ASN調査を開始し、ユーザー活動を調査してください。SentinelOneのXSOARモジュールを活用し、RDP関連キャンペーンを検知してください。
• Singularity Threat IntelligenceとPurple AIにより、攻撃者のIPアドレスに関する深い洞察を得られます。侵害されたエンドポイントを隔離し、MITREフレームワークの各段階に応じた活動を収集してください。 SentinelOneはエンリッチメント、調査、対応までの全プロセスを支援します。インシデントのクローズ、更新、XDRへの同期が可能です。統合ダッシュボードとコンソールから、内部・外部のユーザー管理エコシステムに関する全情報を確認できます。
• 詳細な調査を実施したい場合は、SentinelOneの脅威ハンティングサービスの利用をご検討ください。攻撃者に関連するその他のIoC（侵害の兆候（Indicators of Compromise））や攻撃者のIPやキャンペーンに関連するその他のIoC（侵害の兆候（IoC））を明らかにします。
• SentinelOneのプラットフォームを引き続き活用し、RDPブルートフォース攻撃から組織を守り、重要な資産を保護してください。最善のサイバーセキュリティ対策を実装し、新たな脅威に対するクラウド防御を強化してください。

RDP ベースのサイバー攻撃の実例

RDP のデフォルトポート 3389 は、オンパス攻撃の開始に使用される可能性があります。BlueKeepは最も深刻なRDP脆弱性の1つであり、正式にはCVE-2019-0708と命名されました。これは認証不要のリモートコード実行（RCE）であり、特定の形式に準拠していました。この脆弱性は実効性があり、ネットワーク内の他のマシンへ拡散しました。ユーザーは何もできず、悪意のある攻撃者は不正アクセスを得てシステムを侵害し、その過程でネットワーク内を横方向に移動しました。彼らは権限を昇格させ、マルウェアをインストールし、さらにはランサムウェアを展開しました。攻撃者は、Shodan などの Web クローラーを使用して、設定ミスのある RDP ポートを迅速に特定し、攻撃を開始することができます。彼らはブルートフォース攻撃を開始し、自動的に不正アクセスを得ることができ、さらには中間者攻撃（MitM）を開始することさえ可能です。Sodinokibi、GandCrab、RyukなどのマルウェアモジュールもRDP攻撃に関与する可能性があり、ボルチモア市が直面したRobinHoodランサムウェア攻撃がその事例です。

SentinelOneによるRDP攻撃の軽減策

SentinelOneは、不審なP2Pリモートデスクトップ攻撃を含むリモートデスクトッププロトコル接続をブロックできます。エンドポイントセキュリティ機能を活用し、フルリモートシェル環境におけるリモートアクセスを保護します。SentinelOneのエージェントを導入すれば、RDP関連のプロセスや接続を含む、すべてのアプリケーションとファイルを監視できます。

SentinelOneは、RDP関連を含むすべてのデバイスへのリモートアクセスを自動的に展開できます。

SentinelOneでは、ファイルの隔離や不正変更のロールバックといったアクションも実行可能です。TeamViewerやVMCなどの市販ツールを利用したP2P RDP攻撃を検知・ブロックします。

RDP接続を標的とするBlueKey脆弱性などの最新脆弱性の検知・防御も可能です。SentinelOneはポリシーベースのアクセス制御などの追加セキュリティ対策を提供します。専用パスワードによるセッション暗号化と多要素認証を実装しています。

アクセス許可前に二要素認証を適用でき、詳細な監査データも保持します。

SentinelOneは、RDP関連のプロセスや接続を含む、全デバイスへのリモートアクセス展開にも利用可能です。

SentinelOneのエージェントとコマンドラインツールは、エージェントを管理できます。ステータス確認、診断実行、エンドポイントの監視・保護が可能です。SentinelOneは専用アプリによりSonicWallやNinjaOneなどの他プラットフォームとも連携します。複数プラットフォーム間でシームレスなRDP接続を確保し、AIを活用した統合セキュリティの最高水準を提供します。

無料ライブデモを予約する。

まとめと行動喚起

RDP攻撃は、あらゆる規模の組織にとって脅威であり続けています。本ガイドの手法を実践することで、こうした攻撃から防御できます。セキュリティを維持するには、強固なパスワード、多要素認証、定期的な更新が必要です。ネットワークトラフィックとRDPログを監視することで、不審な活動を早期に検知できます。使用していない時はRDPを無効化し、ファイアウォールと許可リストによるアクセス制限を適用しなければなりません。ただし、効果的な防御態勢には高度なツールと従業員トレーニングが不可欠です。SentinelOneはAIを活用した保護機能を提供し、RDPベースの脅威を自動的に検知・ブロック。リモートデスクトップ環境の完全な可視性と制御を実現します。

今すぐSentinelOneで企業を保護しましょう。