ダークウェブショップでは、企業ネットワーク上のコンピュータへのアクセスを、タクシーで短時間乗車するよりも安い料金で販売しています。
マカフィーのセキュリティ研究者らは、ダークウェブ上で、侵害されたITシステムへのアクセスを販売する、いわゆるリモートデスクトッププロトコル(RDP)ショップのネットワークを発見した。このアクセスは、1回あたりわずか10ドルという低価格で販売されており、その価格には「主要国際空港のセキュリティおよびビル自動化システムへのリンク」も含まれている。
RDPはMicrosoft独自のプロトコルで、ユーザーがグラフィカルインターフェースを介して他のコンピュータにアクセスすることを可能にするため、システム管理者にとって強力なツールとなっています。しかし、この技術はハッカーに悪用される可能性があり、不正ログイン認証情報の取引が増加しています。RDPアクセスは、犯罪者がリモートシステムを制御し、他の犯罪を行うための踏み台として悪用するために利用される可能性があります。
RDP アクセスは、スパムの送信、偽のセキュリティ警告の作成、データや資格情報の盗難、暗号通貨のマイニングなどを行うためのエントリ ポイントとして使用される可能性があります。
最近の米国の複数の機関に対する Samsam ランサムウェア攻撃では、侵害された RDP アクセスが攻撃の実行に使用され、60,000 ドルもの身代金が要求されました。
![RDP広告経由のMoneroマイニング [出典: McAfeeブログ投稿のスクリーンショット]](https://image.brawte.com/anejbkmn/37/3b/monero_mining_rdp.webp)
サイバー犯罪フォーラムで宣伝されているRDP経由のMoneroマイニング。クリックして拡大
ダークウェブ上では、こうしたRDPショップの規模と数が拡大しています。マカフィーによると、オンラインで販売されている侵害されたインフラの在庫数は、RDP接続数が15から4万以上にまで及びます。本調査で対象となった最大のアクティブショップは、ロシア企業であるUltimate Anonymity Service(UAS)が運営していました。
広告対象となったシステムは、Windows XPからWindows 10まで多岐にわたりました。Windows 2008と2012 Serverが最も多く、それぞれ約11,000台と6,500台が販売されていました。マカフィーによると、価格はシンプルな構成で約3ドルから、管理者権限でアクセスできる高帯域幅のシステムで19ドルまでと幅がありました。
同じRDPマシンが複数の店舗で販売されていることがあり、これは高度な闇市場の一部として再販業者が利用されていることを示しています。これらの違法販売店の中には、RDPの販売に加えて、「社会保障番号、クレジットカード情報、オンラインショップへのログイン情報の活発な取引」を行っているところもあります。
マカフィーは、世界中で販売されている複数の政府システムと、病院や老人ホームから医療機器供給業者に至るまでの医療機関にリンクされた数十の接続を発見した。
Blackpass.bzは、幅広いサービスを提供することから、最も人気のあるRDPショップの一つです。クリックして拡大
攻撃者は、インターネット上でRDP接続を受け入れるシステムをスキャンし、Hydra、NLBrute、RDP Forcerといった一般的なツールを用いてブルートフォース攻撃を仕掛けることでアクセス権限を取得します。これらのツールは、パスワード辞書とデータ侵害によって漏洩した認証情報を組み合わせます。
マカフィーは、RDPの基本的なセキュリティ対策に関するヒントを提供しました。企業は、ブルートフォースRDP攻撃を防ぐために、複雑なパスワードと二要素認証を使用する必要があります。さらに、システム管理者は、オープンインターネット経由のRDP接続をブロックすることを検討する必要があります。ユーザーをロックアウトし、ログイン失敗回数が多すぎるIPアドレスをブロックすることも、ブルートフォースRDP攻撃に対する防御策として有効です。®
