ほとんどすべての脆弱性を悪用するハッカーの能力は、法執行機関および中小企業にとって最大の課題の1つです。連邦捜査局は最近、別の脅威について企業などに警告を発しました。ハッカーは、リモートデスクトッププロトコル(RDP)を悪用して悪意のあるアクティビティを実行する頻度を高めています。
FBIによると、リモートデスクトッププロトコルの攻撃ベクトルとしての使用は、2016年の半ばから後半にかけて増加しています。RDP攻撃の増加は、部分的には、リモートデスクトッププロトコルアクセスを販売する暗い市場によってもたらされました。これらの悪意のある行為者は、インターネット上で脆弱なRDPセッションを特定して悪用する方法を見つけました。
$config[code] not foundRDPを使用して自宅またはオフィスのコンピュータをリモートで制御する中小企業では、強力なパスワードを実装して定期的にパスワードを変更するなど、より慎重に作業する必要があります。
FBIは発表の中で、「RDPプロトコルを使用した攻撃はユーザーの入力を必要としないため、侵入を検出するのは困難です」と警告しています。
リモートデスクトッププロトコルとは
リモートアクセスと管理用に設計されたRDPは、クライアントユーザー、デバイス、仮想デスクトップ、およびリモートデスクトッププロトコルターミナルサーバー間のアプリケーションデータ転送を簡素化するためのMicrosoftの方法です。
簡単に言うと、RDPを使用すると、コンピュータをリモートから制御してリソースを管理し、データにアクセスできます。この機能は、クラウドコンピューティングを使用せず、施設内に設置されたコンピューターやサーバーに頼らない小規模企業にとって重要です。
RDPがセキュリティ問題を提起したのは今回が初めてではありません。過去のバージョンでは、初期のバージョンに脆弱性があり、それらが中間者攻撃を受けやすく、攻撃者に不正なアクセスを許可していました。
2002年から2017年の間にマイクロソフトはRemote Desktop Protocolに関連する24の主要な脆弱性を修正した更新を出しました。新バージョンのほうがより安全だが、FBIの発表によると、ハッカーはまだそれを攻撃の媒介として使っているという。
リモートデスクトッププロトコルハッキング:脆弱性
FBIはいくつかの脆弱性を識別しました - それはすべて弱いパスワードから始まります。
あなたが辞書に載っている単語を使用していて、大文字と小文字、数字、特殊文字を組み合わせていない場合、パスワードはブルートフォース攻撃や辞書攻撃に対して脆弱です。
Credential Security Support Providerプロトコル(CredSSP)を使用している古いリモートデスクトッププロトコルにも脆弱性があります。 CredSSPは、リモート認証のためにユーザーの資格情報をクライアントからターゲットサーバーに委任するアプリケーションです。古いRDPは潜在的に中間者攻撃を仕掛けることを可能にします。
その他の脆弱性には、デフォルトのリモートデスクトッププロトコルポート(TCP 3389)への無制限のアクセスの許可と無制限のログイン試行の許可が含まれます。
リモートデスクトッププロトコルハッキング:脅威
これらはFBIによってリストされているように脅威のいくつかの例です:
CrySiSランサムウェア: CrySISランサムウェアは、主にオープンRDPポートを通じて米国の企業を標的とし、ブルートフォース攻撃と辞書攻撃の両方を使用して不正なリモートアクセスを取得します。その後、CrySiSはランサムウェアをデバイスに投下して実行します。攻撃者は復号化キーと引き換えにBitcoinでの支払いを要求します。
CryptONランサムウェア: CryptONランサムウェアは、ブルートフォース攻撃を利用してRDPセッションにアクセスし、その後、攻撃者が標的のマシン上で悪意のあるプログラムを手動で実行することを可能にします。サイバーアクターは通常、復号化の指示と引き換えにBitcoinを要求します。
Samsam Ransomware: Samsamランサムウェアは、RDP対応のマシンを攻撃する攻撃など、ブルートフォース攻撃を実行するための広範な攻撃を利用します。 2018年7月、Samsamの脅威関係者は、RDPのログイン資格情報をブルートフォース攻撃して医療機関に侵入しました。ランサムウェアは検出前に何千ものマシンを暗号化することができました。
ダークウェブエクスチェンジ: 攻撃者は、ダークウェブ上で盗まれたRDPログイン認証情報を売買します。認証情報の価値は、侵入先のマシンの場所、セッションで使用されたソフトウェア、および盗まれたリソースの使いやすさを向上させるその他の属性によって決まります。
リモートデスクトッププロトコルハッキング:どのようにして身を守ることができますか?
リモートから何かにアクセスしようとするときはいつでもリスクがあることを覚えておくことが重要です。また、Remote Desktop Protocolがシステムを完全に制御するため、誰が密接にアクセスできるかを規制、監視、および管理する必要があります。
次のベストプラクティスを実施することにより、FBIと米国国土安全保障省は、あなたがRDPベースの攻撃に対してより良いチャンスがあると言います。
- 強力なパスワードとアカウントロックアウトポリシーを有効にして、ブルートフォース攻撃から防御します。
- 二要素認証を使用します。
- システムとソフトウェアのアップデートを定期的に適用してください。
- 強力なリカバリシステムで信頼性の高いバックアップ戦略を立ててください。
- ロギングを有効にし、リモートデスクトッププロトコルログインをキャプチャするためのロギングメカニズムを確認します。ログを最低90日間保管してください。同時に、ログインを確認して、アクセス権を持つユーザーだけがそれらを使用していることを確認します。
ここで残りの推奨事項を見ることができます。
データ侵害の見出しは定期的にニュースに載っています、そしてそれは一見無制限のリソースを持つ大規模な組織に起こっています。すべてのサイバー脅威からあなたの中小企業を守ることは不可能に思えるかもしれませんが、あなたがすべての当事者のための厳格なガバナンスで適切なプロトコルを整えればあなたのリスクと責任を最小にすることができます。
画像:FBI
