みっきー申す

ITに関する興味関心のまとめ、サイバーセキュリティニュースのまとめ、Twitter(https://mobile.twitter.com/microkeyword)で配信中の情報まとめなどを公開します

在宅勤務の増加に伴うRDPの悪用を試みる攻撃の増加

f:id:micro_keyword:20200510163245j:plain:w400

COVID-19の影響で世界中の企業が在宅勤務など、リモートワークを急速に普及させています。

その中でも最も容易な手法として挙げられるのが、Windows製品で主に用いられるRDPです。

ポート番号3389で利用されるRDPですが、急速に利用をし始めた企業や個人が多いためか、企業VPNなどを介さずに、直接インターネットからアクセスできる状況になっているユーザが多数存在すること。

そして、攻撃者がその公開されたRDPを狙う活動が活発化していることが、セキュリティベンダーより確認されています。

そしてその観測はロックダウンが本格化してきた2020年3月以降に顕著に表れているとのことです。

今回は、セキュリティベンダーMcAfeeおよびVPNサービスプロバイダのAtlas VPNの公開した観測内容を中心に攻撃の状況をまとめます。

www.mcafee.com

atlasvpn.com


目次


インターネットに公開されているRDPの数

Shodanを利用した調査

McAfeeがShodanを用いて行った調査によると、インターネットに公開されているRDPポートの数は、2020年1月から3月の期間で、約300万件から400万件を超えるまでに増加しており、短期間で1.3倍以上に増加していることがわかります。

また、国別の調査では、以下の通り、中国と米国が群を抜いて多いことも確認できます。

https://www.mcafee.com/wp-content/uploads/2020/05/RDP-exposure.png

https://www.mcafee.com/wp-content/uploads/2020/05/Exposed-RDP-ports.png

https://www.mcafee.com/wp-content/uploads/2020/05/percentage-of-exposed-rdp-ports-per-country.png

ちなみに、日本は全体の6位ではあるものの、10万件程度で中国や米国の約1/10ですね。

筆者も念のため、Shodanでその数を確認してみたのですが、よくよく見てみると、該当するIPが属する組織はホスティング事業者が多くを占めているようでした。

組織名
Amazon.com 14,719
Choopa, LLC 11,484
Microsoft Azure 8,972
K&K Corporation Ltd. 8,941
SAKURA Internet 6,853

この分だと、組織ネットワークに侵入できてしまうリスクの高いホストは思っているほど多くはないかもしれないですね。

さて、話を戻しまして、インターネットから確認できるOSの分布を確認すると、ほとんどがWindows Serverである一方、Windows7のホストも20%弱確認できますね。

https://www.mcafee.com/wp-content/uploads/2020/05/operating-systems.png

先日のWindows7およびWindows Server2008のサポート終了以降、端末の刷新が行われた企業も多いと思います。

ただ、分布をみるとWindows Server2012でさえ、インターネットに公開されているホストが少なくとも20%弱は存在しますね。

Atlas VPNの独自分析

Atlas VPNの調査によると、COVID-19の流行以降で、RDPを悪用した攻撃は330%増加したとのことです。

同社の調査では、2020年3月9日にイタリアがロックダウンを発表した直後にRDPを標的にしたブルートフォース攻撃の増加を確認しています。

https://atlasvpn.com/assets/newfirstgraph.png

そして、これらの観測を3月10日から4月15日の合計で集計すると、総数で1億4,800万回の志向が確認できたとのことでした。

https://atlasvpn.com/assets/newsecondgraph.png


アンダーグラウンドで売買される認証情報

McAfeeの脅威調査チームATRによると、RDPアクセスのための認証情報を取得したのち、ダークウェブをはじめとしたアンダーグラウンドの市場において$10程度、つまり1000円前後で購入できるアカウントの売買が確認されています。

  • RDP認証情報売買サイト

https://www.mcafee.com/wp-content/uploads/2018/06/2018-06-05-RDP-1-1024x458.png

  • 実際に販売されているアカウントの例

https://www.mcafee.com/wp-content/uploads/2018/06/2018-06-05-RDP-5-980x500.png

www.mcafee.com

そして、これらのアカウントについて、窃取された認証情報を国別に分類すると以下のようになります。

https://www.mcafee.com/wp-content/uploads/2020/05/stolen-credentials-by-country.png

https://www.mcafee.com/wp-content/uploads/2020/05/percentage-of-stolen-credentials-per-country.png

一応日本はランクインしていないようです。

さらに、窃取された認証情報について、そのパスワードを集計した結果が以下です。

https://www.mcafee.com/wp-content/uploads/2020/05/most-common-passwords.png

ちなみに、NULLは空欄です。

ということで、窃取されたアカウントのうち、パスワードを設定していないアカウントが最も多いということですね。


忘れてはならないRDP脆弱性BlueKeep

Windows RDPと言えば、BlueKeep脆弱性についても忘れてはいけません。

www.jpcert.or.jp

大半の組織ではWindowsアップデートにより既に脆弱性の対策は取られているとは思います。

ただ、RDPを利用しているホストに細工したリクエストを送るだけで悪用が可能な当該脆弱性の脅威度は依然として高いです。

BlueKeepを悪用した攻撃は昨年の秋以降、確認されはじめています。

blog.trendmicro.co.jp

心当たりがある場合は、今一度ご確認の上、修正バージョンの適用を強く推奨します。


まとめ

今回、筆者がshodanを用いて確認した際に用いたクエリは「port:3389 country:jp」という簡単なものです。

例えばこれに「ip:xxx.xxx.xxx.xxx」などを追記してあげることで、自組織のIPアドレスにリスクがあるかも簡易的に確認できます。

Shodanのクエリは無料アカウントでも使うことができ、検索結果も20件までなら表示できるので、ぜひ一度使ってみることをお勧めします。