許可されたツールによるセキュリティリスク 先日いつも利用しているネット通販から荷物が届き、段ボールを開けたら注文した覚えのない品物が入っていました。他人の荷物がうちに間違って届いたことに気づきました。宅配業者さんに連絡して、すぐ荷物を返しました。 私が大好きなアクション映画によくある郵便や宅配を悪用して爆弾などを送りつけられシーンを思い出しました。幸い今回はただの間違いです。 郵便、宅配のような日常生活では欠かせないサービスを通じて危険物をデリバリーすることと同じように、サイバー攻撃の世界ではよく業務上で利用する正規なツールを悪用して攻撃を仕掛けます。 その中の代表例はRDP(Remote Desktop Protocol)の悪用です。 なぜRDPがよく悪用されるのか Windowsのユーザーであればリモートデスクトップ接続を利用したことはあるでしょう。実はリモート デスクトップはRDP(Remote Desktop Protocol)というプロトコルを利用して遠隔にあるコンピューターへの接続することを実現しています。 RDP(Remote Desktop Protocol)は、Microsoftによって開発されたプロトコルですが、Linux系の端末にも実装可能です。そのためRDPは、リモートでコンピューターやサーバにアクセスするための仕組みを提供する技術として広く利用されています。 特に新型コロナウイルスの流行に伴い、リモートワークの拡大が進み、サーバ経由でのリモート接続を可能にするRDPの使用が増加しており、それに伴いRDPの脆弱性を狙ったサイバー攻撃も増加しています。 そして最近では、クラウドの普及に伴い、クラウドにある資産をリモートから管理するためにも、RDPは使われています。現在、オンプレでもクラウドの世界でも、RDPは欠かせない存在と言えるでしょう。 これでRDPの重要性と普及度はご理解できたでしょうか? 弊社VMwareの調査では、攻撃者が侵入したネットワーク内で動き回り、さまざまなリソースやシステムに侵入しようとするプロセスであるラテラルムーブメント(Lateral Movement)において、RDPはTOP3のテクニックとしてよく攻撃者によってよく利用されます。 出典:Lateral Movement in the Real World: A Quantitative Analysis そして警察庁の調査のよりますと、2022年日本国内で発生したランサムウェア被害の中にランサムウェア感染経路の最多はVPNに続き、RDPは第二位となっています。 出典:警察庁「令和4年上半期におけるサイバー空間をめぐる脅威の情勢等について」 なぜ攻撃者は侵入した後に、よくRDP(Remote Desktop Protocol)を利用してネットワーク内部で横移動を実現するかというと、その理由がいくつかあると考えられます。 リモートアクセスの利便性: RDPは、遠隔からコンピューターやサーバにアクセスするための非常に便利なプロトコルです。そのため、合法的なリモートアクセスのツールとして広く使用されています。しかし、セキュリティ対策が不十分な場合、攻撃者はこれを利用して遠隔から不正にシステムにアクセスできます。 広く利用されている: RDPはWindowsオペレーティングシステムに標準的に組み込まれており、多くの組織や個人が利用しています。そのため、攻撃者は攻撃対象を見つけやすいという利点があります。 不適切なセキュリティ設定: 多くの場合、組織や個人はRDPを使用する際に適切なセキュリティ設定を行わずにデフォルト設定のままにしていることがあります。これにより、攻撃者は簡単に不正アクセスを試みることができます。 ブルートフォース攻撃の可能性: RDP接続において弱いパスワードが使用されている場合、攻撃者はブルートフォース攻撃を実行してパスワードを推測し、不正アクセスを試みることができます。 匿名性: RDPを悪用する攻撃者は、リモートから活動するため、自分の正体を隠すことが比較的容易です。これにより、攻撃者は匿名性を維持しながら攻撃を行うことができます。 まとめると、諸刃の剣のようにRDPは便利なリモートアクセスツールであり、適切に管理されている場合には非常に有用ですが、不適切なセキュリティ設定や弱いパスワード、セキュリティパッチの不足などの問題がある場合、攻撃者にとっては容易な攻撃ターゲットとなります。 このように、どこにいっても仕事できるような便利な生活を実現してくれるRDPの悪用を防ぐためにどうしたらいいでしょうか?まずはより具体的なイメージを持っていただくために、簡単なサンプル構成を用意して RDPスキャンによる探索と不正アクセスを行うデモをご用意いたしました。 RDPスキャンによる内部探索 RDPスキャン(RDP scanning)は、サイバー攻撃者がネットワーク上のコンピューターやサーバに対して、RDPを利用してアクセスできるかどうかを試す活動です。RDPスキャンは一般的な攻撃手法の一つであり、特にセキュリティ対策が不十分なシステムやデフォルトのセキュリティ設定を持つシステムに対して効果的です。攻撃者は、ブルートフォース攻撃や既知の脆弱性の悪用など、さまざまな手法を使用してRDPアクセスを試みます。 こちらのデモ(脅威説明編)では、攻撃者はネットワークに初期侵入した後に踏み台Windows端末を経由してネットワーク内にRDPでアクセス可能な端末を探します。 RDPによる不正アクセス その後RDPを利用している端末が見つかりましたら、攻撃者は次にブルートフォース攻撃によるパスワードの推測や、Mimikatzなどのツールを悪用して取得した認証資格情報を持ってターゲット端末にリモートアクセスします。 【ビデオ】 ラテラルセキュリティへの注意喚起デモ … 続き
The post 諸刃の剣ーRDPの悪用による脅威をNSX Securityで対処 appeared first on VMware Japan Blog.