リモートワーク、分散チーム、クラウド接続環境へと移行する企業が増える中、リモートアクセスソリューションは、柔軟なワークフォースを実現するために不可欠なツールとなっています。
しかし、リモートアクセスの台頭は優れた技術的進歩である一方、攻撃者にとってはアクセスポイントが増え、チャンスが増えました。
今日、リモートアクセス攻撃やリモートデスクトッププロトコル(RDP)の悪用は、ランサムウェアグループやサイバー犯罪者が使用する最も一般的な初期アクセス手法の1つです。
1つの前向きな傾向として、これまで以上に詳細なレポートが得られるようになったことがあります。セキュリティ・ベンダー、IRチーム、報道機関は、攻撃者がどのようにアクセスし、どのリモート・アクセス・ツールを使用し、どのように特権をエスカレートさせるのかを正確に示すインシデント分析を頻繁に発表しています。
注意を払おうとする組織にとって、このレベルの透明性は2つの大きなメリットをもたらす:
- リモートアクセスの脆弱性がどのように悪用されているかがよくわかります。
- リスクを減らすために、お客様の環境で何を変えなければならないかがわかります。
このガイドでは、最も一般的なリモートアクセスの脆弱性、攻撃者がどのように脆弱性を悪用するか、そしてお客様の環境をセキュリティで保護し、RDP ベースのランサムウェア攻撃を防ぐための具体的な手順について説明します。
一般的なリモートアクセスの脆弱性
リモートアクセスの脆弱性は、多くのサイバー攻撃を成功に導いています。リモートアクセスの脆弱性は、攻撃者がネットワークに侵入し、データを盗み、悪意のあるソフトウェアを展開するための侵入を許す入口となります。
世界的なリモートワークの拡大に伴い、リモートアクセスのリスクも増大している。世界経済フォーラムによると、2030年までに世界のデジタル雇用は25%増加すると予測されており、攻撃者の潜在的な侵入口となり得るリモートエンドポイントが新たに数百万台追加されることになる。
このことは、セキュリティ態勢を強化し、潜在的な侵害を防ぐために、これらの脆弱性を理解することの重要性を強調している。
以下では、今日組織が直面する最も一般的なリモートアクセスの脆弱性について説明します:
情報と可視性の欠如
多くの組織では、VPN設定、RDP設定、サードパーティのアクセス制御など、リモートアクセスシステムの包括的な可視性と理解が不十分です。
リモートアクセスツールとエンドポイントの明確なインベントリがないと、設定ミスが発生しやすくなります。このような知識のギャップは、次のようなことにつながります:
- VPNやファイアウォールの設定が不十分
- 機密データの漏洩事故
- セキュリティが不十分なデバイスを経由して、権限のないユーザーがアクセスします。
さらに、リモートワーカーは無意識のうちに安全でない公衆Wi-Fiに接続し、中間者攻撃のリスクを高める可能性があります。
パスワード共有と脆弱な認証情報
パスワードの共有は一般的ではありますが、危険な行為です。従業員が認証情報を共有すると、特にリモートアクセスシステムでは、説明責任の追跡が困難になります。
再利用されるパスワードや脆弱なパスワードは、システムをブルートフォース攻撃やクレデンシャル・スタッフィングに脆弱にします。さらに、従業員が退職する際、共有パスワードの変更を怠ると、その従業員が退職した後も、システムが悪用される可能性があります。
安全でない、または古いソフトウェア
ランサムウェアやその他のマルウェアは、パッチが適用されていないソフトウェアを悪用します。多くの組織では、旧式のRDPソフトウェア、VPNクライアント、その他のリモートアクセスシステムを使用し続けており、これらはサイバー犯罪者の標的として知られています。これらのシステムには脆弱性があります:
- パッチ未適用の脆弱性を悪用したマルウェア配信を許します
- 攻撃者によるリモート・コード実行を可能にする
- 機密データやシステムへのバックドア・アクセスを提供する
多くのソフトウェア・ベンダーは、これらの脆弱性を修正するパッチを定期的にリリースしていますが、アップデートを適用しなければ、システムは危険にさらされたままとなります。また、サードパーティのソフトウェア、プラグイン、拡張機能が古かったり、安全でなかったりする場合も、意図しない侵入口となる可能性があります。
リモートワークにおける個人デバイスの使用
組織のIT部門によって管理されていない個人デバイスは、業務に使用する際に重大なリスクをもたらします。従業員は以下から接続する可能性があります:
- エンタープライズ級のセキュリティ管理が施されていない、保護されていない個人用デバイス
- エンドポイントの暗号化など、会社のセキュリティポリシーに準拠していないデバイス
- 許可されていないアプリやサービスが業務に使用されるシャドーIT
また、これらのデバイスは定期的なセキュリティ・アップデートがないため、組織はマルウェアやランサムウェアの攻撃を受けやすくなります。個人デバイスは通常、企業が管理するデバイスと同レベルの管理、監視、認証がないため、不正アクセスに対して脆弱なままとなります。
不適切なパッチ管理
特にレガシーインフラストラクチャや限られた IT リソースを扱う場合、多くの組織がシステムのパッチ適用やアップデートに課題を抱えています。パッチが適用されていないシステムは、脆弱性を求めてネットワークを積極的にスキャンするサイバー犯罪者にとって格好の標的となります。パッチの適用が遅れたり、見落とされたりすると、次のようなリスクが生じます:
- 攻撃者はリモートアクセスソフトウェアの既知の脆弱性を悪用することができます。
- 自動化された攻撃ツールは、パッチが適用されていないデバイスをスキャンし、それらのデバイスを侵害できます。
- 悪意のあるコードは、これらの脆弱性を侵入口としてネットワーク上に拡散する可能性があります。
RDPの場合、攻撃者は脆弱なサービスやパッチが適用されていないサービスに対して、ブルートフォース攻撃を使ってアクセスを取得することが多い。
脆弱なバックアップ
バックアップはサイバー攻撃時の復旧に欠かせないが、保護されていないバックアップも標的になり得ます。攻撃者は多くの場合、クラウドバックアップや暗号化されていないデータの露出を探し、二次的な攻撃ポイントとして利用します。強力なアクセス制御と暗号化がなければ、これらのバックアップはデータ窃盗やランサムウェアの容易な侵入口となり得ます。
デバイス管理の不備
デバイスの定期的なアップデートやセキュリティチェックを怠ると、マルウェアやランサムウェア感染のリスクが高まります。時間の経過とともに、デバイスには脆弱性が蓄積されます:
- サイバー犯罪者の攻撃対象領域を拡大します
- 権限やセキュリティ証明書が古い場合、不正アクセスを許可します。
- 攻撃者がデバイスを感染させ、後に大規模なネットワーク侵入の発射台として使用できるようにします。
セキュリティ侵害のリスクを減らすには、定期的なデバイスの衛生管理とセキュリティ・ソフトウェアの更新が不可欠です。
フィッシング攻撃
フィッシングは、不正アクセスを獲得する最も一般的な方法の1つです。サイバー犯罪者は次のようなものを送りつけます:
- 正規のメールに見せかけた詐欺メール:攻撃者は、信頼できる企業やサプライヤー、社内部署を装ったメールを送信することがよくあります。このようなメールには、偽の請求書、パスワード再設定リンク、緊急の依頼などが含まれ、ユーザーを騙して悪意のあるリンクをクリックさせたり、機密情報を共有させたりするように設計されています。
- スミッシング(SMSフィッシング)またはビッシング(ボイスフィッシング):サイバー犯罪者は、信用できるように見せるためにテキストメッセージや電話も使用します。スミッシング・メッセージには、詐欺的なウェブサイトへのリンクや、アカウントを「確認」するよう促す緊急のプロンプトが含まれていることがあります。ビッシングは、銀行、ITサポート、政府機関になりすまして電話をかけ、被害者にログイン情報、金融情報、セキュリティ・コードなどを教えるよう迫るものです。
- 偽のログインポータル:攻撃者は、電子メールやクラウドアカウントなどのサービス用に、そっくりなログインページを設定します。これらのページは本物のブランドやURLを忠実に模倣しており、ユーザーを騙してユーザー名とパスワードを入力させ、それを盗み出します。
攻撃者は現在、機械学習を含む高度な戦術を駆使して、パーソナライズされたフィッシング・メッセージを作成し、ドメイン偽装を行うことで、攻撃の信憑性を高めている。いったん認証情報が盗まれると、RDP、VPN、クラウド・サービスなどのリモート・アクセス・システムに簡単にアクセスできるようになる。
攻撃者がリモートアクセスの脆弱性を悪用して侵入する方法
ランサムウェア攻撃のかなりの割合が、亜種にかかわらず、フィッシングまたはリモートデスクトップ・ベースの侵入から始まることは以前から理解されている。
以前のセクションで述べたフィッシングは、明らかなエントリー・ポイントです。フィッシングが成功すると、攻撃者はエンドポイント・セッションと有効なユーザー認証情報を手にします。しかし、リモートデスクトップ攻撃(市販のリモートアクセスツールを使って行われるものも含む)も同じ結果をもたらします。
攻撃者が何千ものパスワードをテストするブルートフォース(総当り)攻撃であろうと、過去の侵害で流出し、購入または収集された窃取済みの認証情報であろうと、RDPベースの攻撃は依然として同様に有効であるため、最初の攻撃ベクトルとしてフィッシングと肩を並べることになります。
RDP悪用の実例
MedusaLockerは、2019年に初めて確認されたランサムウェアの亜種で、最近では政府機関によるサイバーセキュリティに関する合同勧告が出されるほど再燃しています。MedusaLockerの実行者は主に露出したRDP接続を標的としており、これらは便宜上意図的に公開されることもあれば、誤って開いたままにされることもあります。アクセス権を得た後、ランサムウェアを展開し、重要なデータを暗号化し、支払いを要求します。
Sophosの研究者が記録したもう1つの影響の大きい事例では、LockBitランサムウェアを利用するグループが、RDP経由で米国政府のネットワークに侵入した経緯が明らかにされました。衝撃的なことに、攻撃者はランサムウェアの展開を開始する前に、5か月間にわたり検知されることなくネットワーク全体を横断的に探索していました。
リモートアクセスを用いた攻撃者の権限昇格とラテラルムーブメントの手法
攻撃者がリモートアクセスの脆弱性を悪用して侵入する方法を確認したところで、次に、リモートアクセスを使ってどのように権限を昇格させ、横方向に移動するのかを説明します:
MITRE ATT&CK フレームワークによると、攻撃者がローカル・アクセスを獲得すると、次の論理的な段階は横方向への移動です。この段階では、リモートアクセスの仕組み(特に内部 RDP)が悪用されるのが一般的です。
ランサムウェアのインシデントレスポンス企業であるCovewareの最新データによると、ランサムウェア攻撃の約70%で横方向の移動が発生している。同社のアナリストは、この段階は「主に、最初のアクセスが行われた後に社内のリモートデスクトップ(RDP)を悪用することで構成されている」と指摘している。
横方向に移動することで、攻撃者は権限をエスカレートさせ、追加のエンドポイントにアクセスし、機密データを探し出し、ランサムウェアを配置して最大の影響を与えます。
ランサムウェア攻撃におけるリモートアクセスの悪用を防ぐ効果的な戦略
脅威アクターが悪意のある目的でリモートアクセスを悪用するケースが後を絶たない中、IT部門とセキュリティ・リーダーは、リスクを低減するための断固たる措置を講じる必要があります。以下は、悪用を防止するために組織が取ることのできる最も効果的な対策です:
外部からのリモートアクセスを無効にする
攻撃者は、公衆インターネットに公開されているデスクトップやサーバー上の認証情報を、頻繁にブルートフォースしています。RDPのブルートフォース試行を自動的にブロックするMicrosoftの最近のWindows 11アップデートでさえ、特に攻撃者が盗んだ認証情報のセットを手にしている場合、この脅威を完全に軽減することはできません。
59%の組織がクレデンシャルの窃取を狙ったフィッシング型キャンペーンを経験しており、さらにクレデンシャルの販売に特化したダークウェブサービスの存在もあることを踏まえると、多くの攻撃者がアクセスを得るためにもはやブルートフォース(総当たり攻撃)に依存していないことは明らかです。
可能な限り、外部からアクセス可能なRDPやその他のデスクトップレベルのリモートアクセスルートを排除する。
RDPの全面停止を検討する
外部および内部ベースのリモート・デスクトップ・アクセスにおいて、MicrosoftはRDPサービスが可能な限りセキュアであることを確保するための措置を講じてきました。しかし、2つの問題が残っています:
- まず、すべての組織がすべてのエンドポイントで RDP のセキュリティを確保しているわけではありません。
- 第二に、たとえセキュアであったとしても、ランサムウェアの集団は現在、ゼロデイ・エクスプロイトを探しており(そして、そのために7桁の金額を支払うことを厭わない)、ほとんどすべてのマイクロソフト環境にRDPが普及しているため、広く利用可能な「コモディティ」アプリケーションを利用する方法を探そうとするハッカーにとって、RDPは格好の標的となっています。
詳細な制御が可能なセキュアで最新のリモートアクセス・ソリューションに移行することで、リスク面を大幅に軽減することができます。
セキュリティ認証を有効にする
多要素認証(MFA)は、リモートアクセスの悪用に対する最も効果的な防御策の1つです。スマートカード、証明書、認証アプリ、ハードウェア・キーなどの第二の要素を要求することで、盗まれたパスワードは事実上役に立たなくなり、認証情報が漏洩した場合でも不正アクセスを防ぐことができます。
ソフトウェアの定期的なアップデートとパッチ適用
すべてのリモートアクセスツールとソフトウェアを定期的に更新し、パッチを適用することは、攻撃者を寄せ付けないために非常に重要です。パッチが適用されていないシステムは、サイバー犯罪者にとって格好の標的となるため、アップデートを常に最新の状態に保つことは、ネットワークを保護する上で 不可欠です。
従業員の教育と訓練
リモートアクセスに関連するリスクに対する認識を高めるために、サイバーセキュリティ・トレーニングに投資しましょう。フィッシングやパスワード管理の危険性について従業員にトレーニングを行うことで、クレデンシャルの盗難や不正アクセスの可能性を減らすことができます。
こちらもご覧ください:VNC vs SSH: 安全なシステム管理に適したリモートアクセスプロトコルの選び方.
手遅れになる前にRealVNCでリモートアクセスのセキュリティを強化する
サイバーセキュリティ戦略は、現在の脅威の状況を反映するために継続的に進化する必要があります。MITRE ATT&CK のようなフレームワークが存在するのは、組織が実際の環境で攻撃者がどのように行動するかに沿って対応できるようにするためです。
生産性を優先した利便性よりも、セキュリティを優先した設定を優先するようになるまでは、リモートアクセスはランサムウェアグループの最重要ターゲットであり続けるだろう。
今日の攻撃パターンを研究し、上記の推奨事項を実施することで、企業はリモートアクセス環境のセキュリティを大幅に強化し、内部および外部の攻撃対象領域を削減することができます。
要するに、リモートアクセスのセキュリティ確保はオプションではなく、セキュリティリスクを回避するための基本です。
今こそリモートアクセス・ソリューションを評価し、今日の脅威を防御するのに十分な堅牢性を確保する時です。
RealVNCの安全なリモートアクセスソリューションがどのように役立つかの詳細をご覧ください。ネットワークをランサムウェア攻撃から保護し、不正アクセスの試みを 防ぐ方法をご確認いただけます。
よくあるご質問
以下は、リモートアクセス攻撃についてよくある質問に対する回答です。
リモートアクセス攻撃とは?
リモートアクセス攻撃は、サイバー犯罪者がRDP、VPN、SSH、クラウドベースのリモートツールなどのリモートアクセス手段を通じて、システムやネットワークに不正に侵入することで発生します。このような攻撃には、一般的に、クレデンシャルの窃取、フィッシング、またはパッチが適用されていない脆弱性の悪用が含まれます。多くの場合、攻撃者はこのような試みを自動化し、露出した多数のシステムを標的としています。
リモートアクセスにはどのような脆弱性がありますか?
一般的な脆弱性には、RDPの設定ミス、脆弱なパスワードや再利用されたパスワード、外部に公開されたエンドポイント、古いまたはパッチが適用されていないソフトウェア、保護されていない個人デバイス、不十分な認証管理などがある。これらの弱点は、攻撃者がネットワークを侵害するための容易なエントリー・ポイントを与えることになる。
リモートアクセスの主な3つの種類とは?
リモートアクセスの主な形態は以下の通りです:
- リモート・デスクトップ・プロトコル(RDP):RDP は広く使用されていますが、オープンポートや脆弱な認証情報のために頻繁に狙われます。
- 仮想プライベート・ネットワーク(VPN):VPNはトラフィックを暗号化しますが、侵害されると単一障害点となる可能性があります。
- クラウドベースのリモートアクセス・ソリューション:これらのツールは、アカウントのセキュリティと適切なMFA設定に大きく依存しています。
