コロナ禍が続く中、RDPを標的とした攻撃は収まる気配がありません。中でも総当たり(ブルートフォース)攻撃には留意が必要です。
www.darkreading.com
リモートデスクトッププロトコル(RDP)は、COVID-19のパンデミックにより企業がリモートワークに移行したため、サイバー犯罪のホットターゲットになりました。1年後、この傾向は減速の兆候を示していません。
(中略)
2020年の春、多くの組織がオフィスのドアを閉めたとき、RDPを標的とした攻撃が急増し始めました。Kasperskyは、2月の9,310万件のグローバルRDP攻撃から3月の2億7,740万件に急増し、197%増加したと研究者は述べています。この傾向は年間を通じて上下しましたが、冬の封鎖が発表されたため、さらに大きな飛躍が見られました。
ESETテレメトリは同様のパターンを反映しています。調査チームは、2020年を通じてRDP攻撃が「かなり安定した成長」を示し、米国と西ヨーロッパが封鎖された2月と3月に最も急速に変化したと報告しました。年末にかけて攻撃の試行回数に多少のばらつきはありましたが、1日あたりのRDP攻撃を報告している企業の数は安定していました。2020年の第1四半期から第4四半期の間に、RDP攻撃は768%増加しました。
カスペルスキーは、2021年2月までに、RDPを標的とした3億7,750万のブルートフォース攻撃を報告し、2020年の初めに観察された9,130万からの大幅な急増を強調しました。研究者マリアNamestnikova。RDPは、マシンを簡単に完全に制御できるため、長い間攻撃者に関心を持っていましたが、攻撃はこの1年で増加しています。
(DarkReading記事より引用)※機械翻訳
キタきつねの所感
RDP=テレワークを狙う攻撃はどうやら常態化(拡大)しつつある様です。
直近のカスペルスキーの調査データ(~2月)でも、RDPを標的とした総当たり(ブルートフォース)攻撃は前年比で約4倍の3億7750万件と報告されており、テレワーク(DX)の負の面としてのサイバー攻撃に企業や組織は十分に留意する必要があります。
日経の1月記事にある様に、RDPだけでなくVPN装置(機器の脆弱性)を狙う攻撃も十分に警戒すべきですが、テレワーク環境全般(VPN/RDPの両方)が狙われていると考えるべきかと思います。
www.nikkei.com
記事の中で、特に気になったのが「総当たり(ブルートフォース)攻撃」の記載です。
研究者がRDPに対して見ている攻撃の多くは、ブルートフォース攻撃です。Namestnikovaによると、これらは攻撃者の労力を最小限に抑えますが、数回の試行でブルートフォース攻撃を受ける可能性のある単純なパスワードを引き続き使用するため、効果を維持します。攻撃者が脆弱性を悪用してRDPを標的にする可能性があり、Microsoftが2020年に多くのリモートデスクトップの欠陥にパッチを当てたことは注目に値します。
(DarkReading記事より引用)※機械翻訳
この事は、攻撃を受けている企業や組織が、テレワークにおけるRDP接続に「IDとパスワード」だけで認証を行っている事を示唆しています。
いい方を変えれば、「多要素認証を導入していない」所が狙われているという事になりますが、「IDとパスワード」だけのRDP認証を行う企業や組織が侵害を受けない為には「IDの複雑性」と「パスワード強度」 が重要になってきます。
しかし、記事では「容易に推測できるパスワード」「パスワードの使い回し」が原因で侵害を防げていない現状が文面に表れています。
IDの方は記事には書かれていませんが、管理者であれば「admin」や「機器名」、そして一般ユーザについては、ほとんどの企業や組織は「メールアドレス」をIDとしているかと思います。
既に様々なサイトから大量に漏えいしている個人情報の中には、メールアドレス(ID)と使い回ししているパスワード(ハッシュ含む)が含まれている可能性がある訳ですが、コロナ禍の特別な事情があるとは言え、IDとパスワードだけに企業のテレワーク環境の認証を委ねている所は、いつ不正アクセスが成功(インシデントが発生)してもおかしくない状況と言っても過言ではないかと思います。
私が直近でセキュリティレビューを行った国内施設でも「脆弱な」パスワード(※正確にはIDとパスワードの組み合わせ)がいくつも検出された事もありますが、管理者も含めて(全ての)ユーザが複雑なID/パスワードを設定しているというのは妄想でしかないと思います。
一般的な教育でパスワードの重要性は従業員に教えていると言われる企業も多いかとは思いますが、現状を良く調べた方が良いかと思います。企業・組織内部の閉域網の話であればインシデントにまで発展する恐れはまだ少ないかも知れませんが、外部の攻撃者は、パスワード問題を熟知しており、総当たり攻撃(リスト型攻撃)によって機密データを持ち出す、あるいはランサムを仕掛ける機会を探していて、テレワーク環境(外部接続)はまさに、企業側のホットな脆弱点になっています。
DarkReadingの記事では、以下の様に対策を推奨していますが、RDP接続が攻撃を受ける可能性が高い事を前提としたユーザ啓蒙(パスワード教育)や、多要素認証の導入という部分については、多くの企業にとって参考になるのではないでしょうか。
「RDPを使用する場合に会社で取るべき主な対策は、まず、パスワードの複雑さについて従業員を教育することです」と彼女は言います。(答えは非常に優れているため、パスワードマネージャーを使用して保存することをお勧めします。)Namestnikovaは、RDPアクセスに企業VPNを使用することもお勧めします。さらに、RDPは、組織が使用する必要があるサーバー接続を確立する前に、追加の認証を許可します。RDPを使用しない場合は、プロトコルをオフにする必要があります。
(DarkReading記事より引用)※機械翻訳
パスワードマネージャー機能は、可能であれば企業のログイン端末とは別でスマホアプリ等の別端末(別経路)にある事が望ましいと思いますが、有償ソフト導入(予算の手当)が難しい場合は、例えばChromeのパスワード管理機能(ブラウザにID/パスワードを覚えさせる)+チェック機能を使うといった事も考えられるかもしれません。
support.google.com
Chrome(Google)は、過去のパスワード漏えい辞書チェック機能(Have i been pwnedのAPI)を提供していますので、パスワードの使い回しをしている場合に、そうした漏えい情報をいち早くユーザが知る事ができます。
※Googleに情報を委ねるのがどうか、あるいはChrome大丈夫か・・という別な懸念が出てきそうですが、無対策で「ユーザを信じた運用」よりはマシかなと思います。
教育という面については、既に多くの企業・組織が取り組んでいる事かとは思いますが、新しい働き方(テレワーク含む)に伴う、新しいリスクに応じて情報セキュリティ教育のコンテンツを見直す事が重要かと思います。
参考:
cpc.jpac-privacy.jp
本日もご来訪ありがとうございました。
Thank you for your visit. Let me know your thoughts in the comments.
更新履歴
