リモートワークに際して、リモートデスクトップを利用し始めた人も少なくないだろう。容易に導入が可能というメリットの反面、セキュリティ対策が軽視された結果、サイバー攻撃の被害に遭うこともある。この記事では、リモートデスクトップに対する脅威、利用する上での注意点やセキュリティ対策について解説する。
リモートデスクトップとは
リモートデスクトップは、遠隔にあるコンピューターの操作や、ほかのユーザーと画面共有する場合に用いられる。Windowsのコンピューターには標準で搭載されている機能のため、容易に導入できるのがメリットだ。また、最近ではWebブラウザーのChromeでもリモートデスクトップ接続ができるようになるなど、利便性の高い方法も提供されている。
コロナ禍に伴う急速なリモートワークの普及を背景に、主に社外から社内の端末を操作する用途でリモートデスクトップが利用されるケースが増えた。ほかにも、一般ユーザーに対する技術サポートや、データセンターにあるサーバーの管理といった用途でリモートデスクトップが活用されることもある。
Windowsのリモートデスクトップは、マイクロソフト社が開発したRDP(Remote Desktop Protocol :リモートデスクトッププロトコル)という規格に準拠している。RDPは接続元(クライアント側)と接続先(サーバー側)が情報を送受信する際のデータ形式や転送手続きを定めたものだ。接続元からはキーボードやマウスを操作した情報を、接続先からは画面の情報を転送し、操作した結果が反映される。
リモートデスクトップへ接続する際の認証の手続きを適切に設定することで、セキュリティの強度を高めることができる。具体的には、接続先のコンピューターのMicrosoftアカウント、あるいは企業内のActive Directory(AD)ドメインを用いてログインする。
リモートデスクトップ利用に伴う脅威
リモートデスクトップは接続先のコンピューターで任意の操作を実行する権限を与えてしまうため、サイバー攻撃の標的として狙われやすい。そのため、適切にセキュリティ対策を講じる必要がある。特に最近では、企業にとって大きな脅威となっているランサムウェアの感染源の1つとして、リモートデスクトップが挙げられることが少なくない。
実際、RDP経由で侵入を試みるランサムウェアとして、Phobosなどが知られている。警察庁が2022年2月に発表した「令和3年におけるサイバー空間をめぐる脅威の情勢等について(速報版)」では、ランサムウェアの感染経路の20%がリモートデスクトップだったと報告された。
RDPから不正侵入を許した結果、接続先のコンピューターの管理者アカウントが乗っ取られる可能性もある。ほかにも、RDPで遠隔操作されてしまうと、勝手にマルウェアがインストールされたり、ほかのコンピューターに対する攻撃を仕掛ける踏み台にされたり、といった被害が考えられる。過去には、RDPを公開している端末に総当たり攻撃を仕掛けるマルウェアも確認されている。
米国コーブウェア社の調査によると、サイバー攻撃の被害のうち、小さな組織ほどRDPが悪用された事件の割合が多いことが明らかとなった。同調査では、中小企業においてリモートデスクトップやその関連する技術におけるセキュリティリスクを理解するための人的資源や予算が不足している状況について言及している。
そうした制約条件下にありがちな中小企業は、簡単に実行できるRDPを介したサイバー攻撃が仕掛けられる傾向にある。一方、企業規模が大きくなるほど、専門性・コストを要するソフトウェアの脆弱性を突いた攻撃が行われる。
リモートデスクトップのセキュリティ対策
先述のとおり、RDPの被害が多いのは、セキュリティ対策が疎かになりがちな中小・零細企業に偏る傾向にある。しかしながら、企業の規模に関わらず、RDPの利用に伴う脅威を正しく認識し、適切な対策を講じる必要があるのだ。
サイバー攻撃で狙われやすい箇所の代表例として、通信の接続口となる「ポート」が挙げられる。例えば、外部からのリモートデスクトップを許可している場合、初期設定では3389番ポートが使用される。そこで攻撃者は、初期設定からポート番号を変更していない端末を探し出し、攻撃対象として狙うのだ。
実際、ポート番号を変更しないまま、サーバーや各種の機器を運用しているケースは少なくない。インターネットに公開されている機器情報を検索するサービス「Shodan」を用いて、「Remote Desktop Protocol」と検索すれば、380万件以上の機器が該当することがわかる。
さらに、Shodanでは開放されているポート番号を絞り込んで検索が可能なため、多くの機器が3389番ポートを開放していることがわかる。つまり、攻撃者の標的になり得るポートが放置されているという意味で、これらの機器はある種の脆弱性を抱えているに等しいと言えるだろう。この場合、機器が開放するポート番号を変更するだけでも、リモートデスクトップに関わるセキュリティ対策の1つとなり得る。ポート番号の変更以外にも、以下のようなセキュリティ対策が考えられる。
1)ポートフォワーディング設定
ポートを介したサイバー攻撃を回避するための手法の1つとして、ポートフォワーディングが挙げられる。ポートフォワーディングとは、特定のポートに向けられた通信内容を、設定した機器へ転送する仕組みだ。
社外から社内のコンピューターにリモートデスクトップ接続を行う際に、ポートフォワーディングを利用するケースを考えてみよう。まず、外部にIPアドレスを公開したルーターを設置する。ルーターが開放する1つのポートに対して、接続先のコンピューターのIPアドレスをマッピングする。接続元から、ルーターのパブリックIPアドレスと、マッピングしたポート番号を指定すれば、リモートデスクトップ接続が可能となる。
2)VPN(仮想プライベートネットワーク)の利用
仮想的な専用線であるVPNを経由した場合のみ、外部からのリモートデスクトップ接続を許可することで、安全性を高めることができる。また、VPNを設置すると、VPNログイン時にも認証を経るようになるため、直接コンピューターへリモートデスクトップ接続する場合に比べ、不正ログインのリスクは低減する。
3)有償ソリューション、VDI(仮想デスクトップ)の利用
Windows標準のリモートデスクトップ機能の代替案として、有償のソリューションを使うのも、有効なセキュリティ対策の1つだ。これらの製品は、多要素認証やログイン試行回数の制限といったセキュリティ機能の強化に加え、クロスプラットフォーム対応、複数ユーザーの共同作業といった利便性向上も期待できる。ソリューションの選定時には、自社の要件に合致するかどうか、提供事業者のセキュリティポリシーを十分にチェックしておくようにしたい。
また、シンクライアント環境を実現するソリューションの1つであるVDI(Virtual Desktop Infrastructure:仮想デスクトップ)をリモートデスクトップとして用いる方法もある。最近普及が進んでいる、DaaS(Desktop as a Service)と呼ばれる、従量課金制のクラウド型リモートデスクトップもVDIの1つとみなせる。
4)セキュリティソフトの導入
リモートデスクトップの接続元となる端末において、基本的なセキュリティ対策を徹底することも求められる。セキュリティソフトを導入し、最新の状態に保つことでマルウェア感染のリスクを軽減できる。また、万一マルウェアに感染した場合でも、すぐに検知できるようにXDRやEDR(Endpoint Detection and Response)関連の製品を導入することも検討の余地があるだろう。
リモートワークという働き方は、もはや通常の業務形態として浸透・定着の段階に移行しつつある。コロナ禍という特殊要因だけでなく、従業員が柔軟な働き方を希望するようになってきたという、人々の労働環境に対する意識の変化も影響している。
ただし、リモートワークでは、リモートデスクトップを含めて、一定のセキュリティリスクが生じるものだ。その前提に立つと、適切な対策を講じなければ、業務に悪影響を及ぼすセキュリティインシデントに遭遇しかねない。技術的な対策はもちろんのこと、セキュリティに関する従業員教育やポリシーの周知・徹底を図り、利便性の高いリモートデスクトップの機能を安全に利用するようにしてほしい。