セキュリティが十分でないリモートアクセス環境はランサムウェアに狙われやすいうえに、コインマイナーやバックドア攻撃のリスクもある。
この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。
新型コロナウィルス感染症によるパンデミックは、仕事のやり方を劇的に変え、従業員は仕事の大半をリモートワークで行うようになった。ランサムウェアを扱う攻撃者は、この変化を敏感に察知し、さらに悪用しようとしている。ESET社のテレメトリ(監視チームデータ)から、同社のネットワーク攻撃検出技術によって防がれたブルートフォース攻撃(攻撃を受けているユーザー数)が増加傾向にあることを確認した。
ロックダウン(都市封鎖)が始まる前、多くの従業員はオフィスで勤務し、社内のインフラ環境はIT部門によって監視・制御されてきた。しかし、コロナ禍によってそれは大きく変わった。今や、オフィスで行われていた業務の多くは、自宅にあるデバイスからWindowsのRDP(リモートデスクトッププロトコル)を介して行われる。それは機密性の高い社内システムへのアクセスも含まれる。RDPは、遠隔地にあるコンピューターから企業のネットワークへ接続するためにマイクロソフト社によって開発されたソリューションだ。
RDP(ならびに、他のリモートアクセス・サービス)の重要性が増しているにも関わらず、その設定や保護を怠っている企業は少なくない。従業員は推測しやすいパスワードを使っており、認証や保護の手段を追加することもないため、サイバー攻撃者から社内システムへの侵入を防ぐ備えがほとんどできていない状態だ。
おそらくこのような背景が、過去数年にわたりRDPがランサムウェアの犯罪集団に狙われ続けている理由だろう。攻撃者は主に、安全性の低いネットワークに対してブルートフォース攻撃を仕掛け、管理者権限をはく奪し、セキュリティ・ソリューションを無効化またはアンインストールしたうえで、機密データを不正に暗号化するランサムウェアを実行する。
ESET社のテレメトリによって収集されたデータを見ると、RDP攻撃を受けたユーザーの数が増加しているのが明らかだろう。(図1を参照)
ブルートフォース攻撃を防ぐために
RDP利用増加に伴うリスク増大に備えるため、ESET社の研究者はESETのネットワーク保護機能に実装可能な新たな検出方法を考案した。それはRDPやSMB(Server Message Block)プロトコルにおいて、外部IPアドレスから行われるブルートフォース攻撃を遮断するよう設計されている。
「ESET Brute-Force Attack Protection(ブルートフォース攻撃保護)」と名付けられたこの機能は、外部からのログイン失敗を検出する機能であり、ブルートフォース攻撃を検知し、攻撃者からの不正なログイン試行をブロックできる。さらに、そのIPアドレスの中で最も悪質な攻撃者をブラックリストに加え、さらなる攻撃から無数のデバイスを保護する。
この新技術は無差別型攻撃にも、標的型攻撃にも、いずれの場合でも効果があることが証明されている。これを適切に動作させるためには、サーバーでRDPのネットワークレベル認証(NLA)を有効にする必要がある。
ESET社のテレメトリによると、2020年1月から5月の間にブロックされたIPアドレスのほとんどは、米国・中国・ロシア・ドイツ・フランスに分布していた。(図2参照)
また、標的となったIPアドレスの割合が多かった国は、ロシア・ドイツ・日本・ブラジル・ハンガリーであった。(図3参照)
リモートアクセスを正しく設定する方法
ESET Brute-Force Attack Protection のような対策をとったとしても、企業はリモートアクセスを適切に設定しておく必要がある。
- インターネットに公開されたRDPを無効化する。それが難しい場合、インターネットを介して企業のサーバーに直接、接続できるユーザーの数を最小限にとどめる。
- RDPを介してログインする全てのアカウントに強力で複雑なパスワードを設定する。
- 多要素認証(MFA)・二要素認証(2FA)などの追加の認証手段を用いる。
- ローカルネットワーク外からのRDP接続のため、VPN(バーチャル・プライベート・ネットワーク)を導入する。
- ファイアウォールでは、3389番(TCP/IP)ポートや他のRDPポートを使った外部からのローカル・マシンへの接続を拒否する。
- パスワードによって設定を保護し、エンドポイント・セキュリティ・ソフトウェアが不正に改ざんされたり、アンインストールされたりするのを防ぐ。
- RDPを使いインターネットから接続する必要のある、古く安全ではないコンピューターを隔離し、速やかに置き換える。
- RDP接続の適切な設定について、ESET社の上席特別研究員であるAryeh Goretsky氏の記事を参照する。
- 上記のベストプラクティスのほとんどは、FTP・SMB・SSH・SQL・TeamViewer・VNCや他のサービスについても同様にいえる。
ランサムウェア、コインマイナー、そしてバックドア
RDPから侵入された際に起こり得る被害は、ランサムウェアによるものだけではない。多くの場合、攻撃者はコインマイナー(暗号資産採掘ツール)を不正にインストールしようとしたり、バックドアを仕掛けようとしたりする。バックドアは、不正なアクセスが特定・遮断された後でも攻撃者による侵入に悪用される。
RDPからの侵入によって引き起こされる、その他の攻撃パターンには以下のようなものが含まれる。
- これまでの不正な活動の証拠を隠滅するため、ログファイルが消去される。
- 侵入されたシステムに、攻撃者が用いるツールやマルウェアがダウンロードされ実行される。
- バックアップの設定やシャドーコピーを無効化する、あるいは完全に削除する。
- サーバーからデータを抜き出す。
悪意のある攻撃者が、長年RDPを悪用してきたことについては、2013年のESET社のブログで指摘されている。それから数年でRDPへの攻撃が増加したことは、FBIや英NCSC、豪ACSCといった、多くの政府系機関が注意喚起している。
これは、リモートアクセスにおけるセキュリティがいかに重要かを示すものだけではなく、企業の将来をも左右する可能性があることを示唆している。仮に不正アクセスによる企業の風評被害を軽減できたとしても、金銭的な損失や業務の停止、システムの復旧にかかる高額なコストは無視できない。さらに、GDPR(EU)、CCPA(カリフォルニア州)、NDB(オーストラリア)を含むデータ保護の各機関から科される罰金による制裁コストも考慮するべきだろう。
パンデミックの有無に関わらず、RDPや同様のサービス利用によって生じるリスクに対し、企業はパスワードを強化したり、RDPや他のプロトコルを悪用した攻撃を防御するセキュリティ・ソリューションや多要素認証を導入したりするなど、対策を講じるべきである。