テレワーク普及に伴い利用が広がるリモートデスクトップを狙った攻撃

新型コロナウイルスの感染拡大防止のために、現在多くの企業がテレワークの導入を進めています。これに伴い、自宅からオフィスの端末にリモートデスクトップを使って接続して仕事を行うケースが増えてきています。リモートデスクトップは、自宅にいながらオフィスと同じデスクトップ環境を手軽に利用できるため、多くの企業の間で利用が広がっています。しかしリモートデスクトップはとても便利である半面、新たなセキュリティリスクを企業に持ち込みかねないため、その利用に当たっては適切なセキュリティ対策が欠かせません。

事実、リモートデスクトップを狙い撃ちにしたサイバー攻撃が現在世界中で多発しており、弊社が運営するグローバルSOCでもさまざまな事例が確認されています。ある日本企業の例では、特定の海外IPアドレスから社内の端末に対してリモートデスクトップ接続が行われ、サイバー攻撃の入口として使われたことが確認されています。

こうしたケースは既に複数観測されており、攻撃者はリモートデスクトップを通じて端末に侵入した後、認証情報搾取ツール「Mimikatz」を実行して端末上のWindowsユーザーのパスワードをメモリからダンプしたり、一般ユーザーアカウントの管理者権限への昇格を行うコマンドなどを実行します。

このように侵入先端末の認証情報を窃取したりアカウント権限の昇格を果たすだけでなく、ほかの端末への感染を狙ったケースも多数確認されています。具体的には、同じネットワーク内の他の端末に対して脆弱性スキャンを実行し、そこで見つかった脆弱性を狙った攻撃を仕掛けることで他の端末に対して感染を広げていきます。こうしてさらに多くの端末やサーバへの侵入を果たし、より広範な情報の搾取を狙うわけです。

また中には、リモートデスクトップ接続を足掛かりに侵入を果たした後に、ランサムウェア攻撃を仕掛けるケースも確認されています。事実、弊社のグローバルSOCでは、リモートデスクトップ接続を介して侵入したマルウェアがDharmaランサムウェアの亜種であるPhobosランサムウェアおよびBlmランサムウェアを実行したケースが確認されています。

これらのランサムウェアの実行が成功すると、その端末内のデータは暗号化され、一切参照できなくなってしまいます。それと同時に端末上に脅迫文が表示され、データを復旧してほしければビットコインで身代金を支払うよう要求してきます。もちろん、この要求通りに身代金を支払ったとしても、実際にデータが復旧される保証は一切ありません。

ランサムウェアの脅迫文の例

リモートデスクトップ経由の攻撃による被害を未然に防ぐには

では、このようなリモートデスクトップ接続を狙ったサイバー攻撃による被害を防ぐには、一体どのような対策を講じておくべきなのでしょうか。まず第一に、不正アクセスを防ぐために強固なユーザー名およびパスワードを設定しておくことが大事です。デフォルトのユーザー名やパスワードが放置されやすいビルドインアカウントは必ず無効化しておき、実際に利用するアカウントのパスワードは推測されにくいものを利用します。特に管理者権限を持つアカウントに関しては、細心の注意を払っておく必要があります。

また、リモートデスクトップに対するアクセス経路を「VPN経由」もしくは「特定のIPアドレス帯」に制限しておくことも有効です。リモートデスクトップに接続する前にあらかじめVPNの認証を行うことで、不正アクセスをかなりの確率でブロックできるでしょう。同じく、あらかじめ決められたIPアドレスからのみアクセスを許可するよう設定することで、不審なアクセス元からの接続をブロックできます。

同じくアクセス制御や認証を強化する手段として、多要素認証も効果的です。ユーザー名とパスワードによる認証に加えて、生体認証やスマートデバイス認証などを取り入れることで、不正アクセスやなりすましによる攻撃を効果的にブロックできます。

ただし近年のサイバー攻撃は日進月歩で手口が進化しており、上記で挙げたような対策を講じたとしても侵入を100％防げる保証は決してありません。そのため、外部から侵入を防ぐための対策だけでなく、万が一侵入を許してしまった場合に備えて、内部に存在する脅威をいち早く検知して除去するための対策も講じておく必要があります。

そのために現在最も有効な手段と目されているのが、「EDR（Endpoint Detection and Response）」です。EDRは、PCやサーバなどエンドポイント端末を常時監視し、マルウェアを疑われる不審な挙動があれば即座にリアルタイムで検知してくれます。中でも弊社が提供する「Cybereason EDR」は独自のAI技術を用いて極めて高い精度で脅威を検知できるEDR製品として、世界中のユーザーから高い評価を受けています。

さらに弊社では製品を提供するだけでなく、お客様に代わって製品を運用して脅威の監視を行うMSS（Managed Security Service）や、お客様のテレワーク環境の安全性を客観的に評価するアセスメントサービスなど、さまざまなサービスを提供しています。テレワークのために導入したリモートデスクトップ環境に少しでも不安を感じている方は、まずはこうしたサービスを利用して自社環境に現存するリスクを洗い出すことから始めてみてはいかがでしょうか。

ホワイトペーパー「ランサムウェアの解読 〜最新型ランサムウェア攻撃の解説と防止策〜」

ランサムウェア攻撃は2018年前半に一旦大幅に減少したものの、その後の数年はすさまじい勢いで盛り返しています。身代金の支払いも急増しており、2019年12月には、攻撃者への身代金の平均支払い額は8万ドルを超えました。

昨今の攻撃者は、データの身代金を要求するだけでなく、データを盗んでインターネット上で売却もしています。このことは、攻撃者がランサムウェアを実行しているだけでなく、ネットワーク上にとどまってデータを抜き取り、最終的にランサムウェアを展開しているという傾向を示しています。

このホワイトペーパーでは、最新のランサムウェアがどのような特徴があり、どのように既存のセキュリティ対策を回避しているのかを解説しています。
https://www.cybereason.co.jp/product-documents/white-paper/4806/