FBI と米国国土安全保障省も、リモート デスクトップ プロトコル (RDP) サービスの安全でない展開に関する警告に声を上げています。
RDPサーバーは設定ミスやセキュリティ対策が不十分なまま放置されると、悪質な人物がネットワークに侵入し、さらなる被害をもたらす可能性があります。侵害されたログイン情報は膨大で、ダークウェブ市場では1件わずか10ドルで取引されています。あまりにも多くの人がログイン情報を詐欺師に渡してしまい、脆弱なシステムはランサムウェアによってファイルを暗号化されてしまうという事態に陥っています。これは、インディアナ州のハンコック・ヘルスが今年初めに経験した事例です。
FBI が木曜日に警告した RDP で拡散するランサムウェア感染のうち、システム管理者に最も大きな恐怖を与えたのはおそらく SamSam だろう。この攻撃は 2015 年に始まり、それ以来、攻撃者は推定 590 万ドルの不正利益を得ている。
SamSam は 2016 年に Talos の警告を受けて注目を集め、病院、学校、米国の市当局を悩ませてきました。
マイクロソフト、ハイジャックバグ対策パッチを適用していないWindows RDPクライアントをロックアウトへ
続きを読む
FBI/DHSの公共広告は、システム管理者(および個人ユーザー)が知っておくべきことを改めて強調していますが、実際には、多くの人が実践していないことが多すぎます。声明では、企業向けであれ個人向けであれ、「ネットワークがどのようなリモートアクセスを許可しているかを確認し、理解し、侵害の可能性を低減するための対策を講じる必要がある。これには、不要な場合はRDPを無効にすることも含まれる」と述べています。
当局によると、最も一般的な脆弱性は、ブルートフォース攻撃や辞書攻撃を可能にする弱いパスワード、CredSSP 暗号化を使用しているために中間者攻撃を許してしまう古いバージョン、世界中のどこからでも TCP ポート 3389 に無制限にアクセスできる点、RDP アカウントへのログイン試行が無制限に可能である点だという。
政府機関のアドバイスは平凡ですが、繰り返す価値はあります。RDP の使用状況を監査し、可能であれば無効にし (特に重要なデバイスの場合)、利用可能なすべてのパッチをインストールし、強力で秘密のログイン認証情報を使用し、クラウド VM インスタンスからの TCP ポート 3389 と、使用しない IP アドレス範囲をブロックしてください。
つまり、基本的には、RDP をファイアウォールで保護し、アクセスには VPN を使用し、強力なパスワードとロックアウト ポリシーを適用し、多要素認証を使用し、RDP アクセス ログを 90 日間保存して侵入の試みがないか実際に確認し、RDP アクセス権を持つすべての請負業者がポリシーを遵守していることを確認します。®