近年、サイバー犯罪者がリモートデスクトッププロトコル(RDP)の脆弱性を突き、Windowsシステムへの不正アクセスを行う手口が報告されている。この攻撃により、攻撃者はユーザーのブラウザ操作を遠隔で制御し、機密情報を窃取する危険性が高まっている。

特に、RDPの既知の脆弱性「BlueKeep(CVE-2019-0708)」を悪用した攻撃が確認されており、未更新のシステムや弱いパスワード設定が主な標的となっている。ユーザーは、強固なパスワードの設定、多要素認証の導入、定期的なシステム更新、そしてRDPアクセスの制限などの対策を講じることで、これらの脅威から自身のシステムを守ることが求められる。

RDP攻撃の手口と実際の被害事例

RDP(リモートデスクトッププロトコル)の脆弱性を狙った攻撃は、単なる不正アクセスにとどまらず、ユーザーの操作を模倣しながらシステムを掌握する手口が特徴的である。特に、攻撃者は「ブルートフォース攻撃」により脆弱な認証情報を突破するだけでなく、RDPセッションを乗っ取ることで、被害者に気付かれることなくシステムの制御を奪う。

実際に発生した被害の一例として、攻撃者がRDP経由で企業ネットワークへ侵入し、管理者権限を取得した後に、ランサムウェアを展開する事例が報告されている。この攻撃では、攻撃者がRDPセッションのビットマップキャッシュを復元し、企業の機密情報を盗み取ったことが明らかになっている。加えて、ユーザーが入力したログイン情報が盗まれ、さらなる不正アクセスの足掛かりとなるケースも多い。

また、企業だけでなく個人ユーザーもターゲットとなっている。あるケースでは、攻撃者が個人のPCへRDP経由で侵入し、ブラウザのセッション情報を抜き取ったうえで、オンラインバンキングの不正送金を行う被害が確認された。このような攻撃は、一見するとユーザー自身の操作によるものと判定されるため、セキュリティ対策が不十分な環境では被害の発見が遅れる危険がある。

このような手口を防ぐためには、RDPの使用を必要最小限に抑えるだけでなく、多要素認証の導入や接続元の制限が必須となる。特に、RDPのデフォルト設定を変更し、外部からのアクセスを制限することが最も効果的な対策のひとつである。

ブラウザ遠隔操作のリスクと情報漏洩の実態

RDPの脆弱性を悪用した攻撃の中でも、特に注目すべきは「ブラウザの遠隔操作」である。攻撃者は、RDPセッション内でユーザーのブラウジング履歴を取得し、入力されたID・パスワードを解析することで、オンラインサービスへの不正アクセスを試みる。これにより、個人のSNSアカウントの乗っ取りや、金融機関の不正取引が発生するリスクが高まる。

さらに、RDPのビットマップキャッシュ機能を利用することで、攻撃者は被害者が閲覧したウェブページのスクリーンショットを復元することが可能になる。

例えば、あるケースでは、攻撃者がWindowsのキャッシュディレクトリから「BMC-Tools」を使用してビットマップデータを抽出し、被害者が入力したログイン情報を特定した事例が報告されている。これにより、攻撃者はブラウザ上で入力された情報をリアルタイムで監視し、不正なログインを試みることができる。

また、近年では、RDPを利用した攻撃において「セッションリプレイ」が試みられるケースも増えている。攻撃者は、被害者のRDPセッションを記録し、それを再生することで、実際にユーザーが操作しているかのようにシステムを制御する。この手法では、特定のWebサイトの認証トークンを抜き取ることで、二要素認証を迂回する攻撃も可能になると考えられている。

このような攻撃を防ぐためには、RDPの持続的ビットマップキャッシュを無効化し、キャッシュデータが蓄積されないよう設定を変更することが重要である。また、RDPを利用する際には、接続履歴を監視し、異常なアクセスがないか定期的にチェックすることが求められる。

ユーザーが取るべきRDP対策とセキュリティ強化のポイント

RDPを悪用した攻撃は増加の一途をたどっており、ユーザーが自主的に対策を講じることが不可欠である。基本的な対策として、まず「RDPのインターネット公開を避ける」ことが重要だ。特に、ポート3389をそのまま利用するのは危険であり、ファイアウォール設定を見直すべきである。

加えて、強固なパスワードの設定と多要素認証(MFA)の導入が必須となる。短いパスワードや推測しやすいパスワードは、ブルートフォース攻撃によって容易に突破されるため、最低でも12文字以上のランダムなパスワードを使用することが推奨される。また、WindowsのRDP設定で「ネットワークレベル認証(NLA)」を有効にすることで、不正な接続を未然に防ぐことができる。

さらに、RDP接続のログを監視することで、不審なアクセスの兆候を早期に察知できる。特に、「新しいIPアドレスからのRDP接続」「短時間での複数回のログイン試行」などは、攻撃の前兆となるケースが多いため、セキュリティツールを活用してリアルタイムで監視することが望ましい。

また、RDPのビットマップキャッシュを無効化することも効果的な対策のひとつである。これにより、攻撃者がキャッシュデータを取得するリスクを低減できる。加えて、RDPを使用しない場合は、管理者権限で「リモートデスクトップサービス」を無効にすることで、攻撃の入り口そのものを遮断できる。

このように、RDPの脆弱性を狙った攻撃は多岐にわたるが、基本的なセキュリティ対策を徹底することで、被害を未然に防ぐことが可能である。特に、セキュリティパッチの適用を怠らないことが重要であり、最新の脅威情報を常にチェックすることが、個人のセキュリティを守る上で不可欠な要素となる。

Source:Cyber Security News