在宅勤務の増加に伴うRDPの悪用を試みる攻撃の増加
COVID-19の影響で世界中の企業が在宅勤務など、リモートワークを急速に普及させています。
その中でも最も容易な手法として挙げられるのが、Windows製品で主に用いられるRDPです。
ポート番号3389で利用されるRDPですが、急速に利用をし始めた企業や個人が多いためか、企業VPNなどを介さずに、直接インターネットからアクセスできる状況になっているユーザが多数存在すること。
そして、攻撃者がその公開されたRDPを狙う活動が活発化していることが、セキュリティベンダーより確認されています。
そしてその観測はロックダウンが本格化してきた2020年3月以降に顕著に表れているとのことです。
今回は、セキュリティベンダーMcAfeeおよびVPNサービスプロバイダのAtlas VPNの公開した観測内容を中心に攻撃の状況をまとめます。
目次
インターネットに公開されているRDPの数
Shodanを利用した調査
McAfeeがShodanを用いて行った調査によると、インターネットに公開されているRDPポートの数は、2020年1月から3月の期間で、約300万件から400万件を超えるまでに増加しており、短期間で1.3倍以上に増加していることがわかります。
また、国別の調査では、以下の通り、中国と米国が群を抜いて多いことも確認できます。
ちなみに、日本は全体の6位ではあるものの、10万件程度で中国や米国の約1/10ですね。
筆者も念のため、Shodanでその数を確認してみたのですが、よくよく見てみると、該当するIPが属する組織はホスティング事業者が多くを占めているようでした。
組織名 | 数 |
---|---|
Amazon.com | 14,719 |
Choopa, LLC | 11,484 |
Microsoft Azure | 8,972 |
K&K Corporation Ltd. | 8,941 |
SAKURA Internet | 6,853 |
この分だと、組織ネットワークに侵入できてしまうリスクの高いホストは思っているほど多くはないかもしれないですね。
さて、話を戻しまして、インターネットから確認できるOSの分布を確認すると、ほとんどがWindows Serverである一方、Windows7のホストも20%弱確認できますね。
先日のWindows7およびWindows Server2008のサポート終了以降、端末の刷新が行われた企業も多いと思います。
ただ、分布をみるとWindows Server2012でさえ、インターネットに公開されているホストが少なくとも20%弱は存在しますね。
Atlas VPNの独自分析
Atlas VPNの調査によると、COVID-19の流行以降で、RDPを悪用した攻撃は330%増加したとのことです。
同社の調査では、2020年3月9日にイタリアがロックダウンを発表した直後にRDPを標的にしたブルートフォース攻撃の増加を確認しています。
そして、これらの観測を3月10日から4月15日の合計で集計すると、総数で1億4,800万回の志向が確認できたとのことでした。
アンダーグラウンドで売買される認証情報
McAfeeの脅威調査チームATRによると、RDPアクセスのための認証情報を取得したのち、ダークウェブをはじめとしたアンダーグラウンドの市場において$10程度、つまり1000円前後で購入できるアカウントの売買が確認されています。
- RDP認証情報売買サイト
- 実際に販売されているアカウントの例
そして、これらのアカウントについて、窃取された認証情報を国別に分類すると以下のようになります。
一応日本はランクインしていないようです。
さらに、窃取された認証情報について、そのパスワードを集計した結果が以下です。
ちなみに、NULLは空欄です。
ということで、窃取されたアカウントのうち、パスワードを設定していないアカウントが最も多いということですね。
忘れてはならないRDP脆弱性BlueKeep
Windows RDPと言えば、BlueKeep脆弱性についても忘れてはいけません。
大半の組織ではWindowsアップデートにより既に脆弱性の対策は取られているとは思います。
ただ、RDPを利用しているホストに細工したリクエストを送るだけで悪用が可能な当該脆弱性の脅威度は依然として高いです。
BlueKeepを悪用した攻撃は昨年の秋以降、確認されはじめています。
心当たりがある場合は、今一度ご確認の上、修正バージョンの適用を強く推奨します。
まとめ
今回、筆者がshodanを用いて確認した際に用いたクエリは「port:3389 country:jp」という簡単なものです。
例えばこれに「ip:xxx.xxx.xxx.xxx」などを追記してあげることで、自組織のIPアドレスにリスクがあるかも簡易的に確認できます。
Shodanのクエリは無料アカウントでも使うことができ、検索結果も20件までなら表示できるので、ぜひ一度使ってみることをお勧めします。