RDPセキュリティリスクとは何か| RDP の脆弱性

脆弱なユーザー認証とポートを狙う攻撃は、リモートデスクトッププロトコル(RDP)に存在する主な脆弱性の2つです。

学習目的

この記事を読み終えると、以下のことができるようになります。

  • リモートデスクトッププロトコル (RDP) のリスクが分かる
  • これらの脆弱性から保護する方法を理解する
  • CloudflareのRDPセキュリティソリューションについて理解する

関連コンテンツ


さらに詳しく知りたいとお考えですか?

是非、Cloudflareが毎月お届けする「theNET」を購読して、インターネットで最も人気のある洞察をまとめた情報を入手してください!

当社がお客様の個人データをどのように収集し処理するかについては、Cloudflareのプライバシーポリシーをご確認ください。

記事のリンクをコピーする

RDPとは?

RDP(リモートデスクトッププロトコル)は、従業員がオフィスのデスクトップコンピューターに別のデバイスからアクセスするリモートデスクトップセッションに使用される主要なプロトコルの 1 つです。RDPは、ほとんどの Windowsオペレーティングシステムに組み込まれており、Macでも使用できます。多くの企業が、従業員の在宅勤務を可能にするために、RDPに依存しています。

RDPにおける主なセキュリティの脆弱性は何か

脆弱性とは、攻撃者による不正アクセスを可能にするソフトウェアの構成方法のギャップまたはエラーのことです。これは、玄関ドアの鍵は防犯性の高いものですが、不適切に取り付けられているために、犯罪者の侵入を許してしまっている状態だと考えてください。

RDPの最も重要な脆弱性は次のとおりです。

  1. 脆弱なユーザーのサインイン認証情報。ほとんどのデスクトップコンピュータはパスワードで保護されており、ユーザーは通常、このパスワードを任意のパスワードに設定することができます。問題は、同じパスワードがRDPリモートログインにもよく使用されることです。企業では通常、これらのパスワードを管理して強度を確保することはなく、多くの場合、これらのリモート接続をブルートフォース攻撃(総当たり攻撃)やクレデンシャルスタッフィング攻撃に開放したままにしています。
  2. 制限されていないポートへのアクセス。RDP接続は、ほとんどの場合、ポート3389*で行われます。攻撃者は、このポートが使われているという前提のもと、これを標的としてオンパス攻撃を仕掛けます。

*ネットワークにおいてポートとは、特定の種類の接続用に指定された論理回路上のソフトウェアベースの場所を指します。さまざまなポートごとに異なるプロセスを割り当てることは、コンピューターがそれらのプロセスを追跡するのに役立ちます。たとえば、HTTPトラフィックは常にポート80に送信され、HTTPSトラフィックはポート443に送信されます。

RDPの脆弱性の対処方法には何があるか

脆弱なサインイン認証情報の流布を減らすには:

シングルサインオン(SSO): 多くの企業がすでにSSOサービスを使用して、さまざまなアプリケーションのユーザーログインを管理しています。SSOを使用すると、強力なパスワードの使用を強制するより簡単な方法や、ニ要素認証(2FA)などのより安全な対策を企業が実行できます。前述のユーザーログインの脆弱性を解消するために、RDPリモートアクセスをSSOの背後に移動することができます。(たとえば、Cloudflare Zero Trust では、企業がこれを行うことができます)。

パスワードの管理と適用:一部の企業では、RDPをSSOの背後に移動することは選択肢ではない場合があります。この場合は最低でも、従業員にデスクトップのパスワードをより強力なものにリセットするように求める必要があります。

ポートベースの攻撃から保護するには:

ポート3389をロックダウン: セキュアトンネリングソフトウェアは、攻撃者によるポート3389に到達するリクエストの送信を未然に防ぎます。セキュアトンネリング(Cloudflare Tunnelなど)がある場合、トンネルを通過しないリクエストはブロックされます。

ファイアウォールルール: 許可リストに登録されたIPアドレス範囲(従業員が使用していることがわかっているデバイスなど)からのトラフィックを除き、ポート3389へのトラフィックを通過させないように企業ファイアウォールを手動で設定できます。ただし、この方法には多くの手作業が必要であり、攻撃者が許可リストに登録された IPアドレスを乗っ取ったり、従業員のデバイスが侵害されたりすると、攻撃を受けやすくなります。さらに、従業員のすべてのデバイスを事前に特定して許可リストに登録することは通常、非常に困難であり、その結果、ブロックされた従業員からのIT部門への問い合わせが継続的に発生します。

RDPには他にどのような脆弱性があるか

RDPには、技術的にパッチが適用されている他の脆弱性がありますが、未確認の状態が続いているとすれば、依然として深刻です。

RDPの最も深刻な脆弱性の1つは「 BlueKeep」といいます。BlueKeep(正式には CVE-2019-0708と分類)は、攻撃者が適切なポート(通常は3389)に特別に細工したリクエストを送信した場合、コンピュータ上で必要なコードを実行できる脆弱性です。BlueKeepは「ワーマブル」です。つまり、ユーザーからの操作なしにネットワーク内のすべてのコンピューターに広げることができるということです。

この脆弱性に対する最善の防御は、必要でない限り、RDPを無効にすることです。ファイアウォールを使用してポート3389をブロックすることもできます。最後に、Microsoftは2019年にこの脆弱性を修正するパッチを発行しました。システム管理者がこのパッチをインストールすることは、不可欠です。

他のプログラムやプロトコルと同様に、RDPには他にもいくつかの脆弱性があり、これらのほとんどは常に最新バージョンのプロトコルを使用することで排除できます。ベンダーは通常、リリースするソフトウェアの新バージョンごとに、脆弱性にパッチを当てます。

CloudflareはRDPアクセスの保護にどのように役立つか?

RDPアクセスを簡素化して保護するために、Cloudflareは自社SASEプラットフォームのゼロトラストセキュリティ制御を組み込んだ高速のRDPプロキシを構築しました。Cloudflareは現在、クライアントレスでブラウザベースのRDPアクセスを提供しています。追加のインフラやクライアントデバイスでの追加の構成は必要ありません。CloudflareのSASEプラットフォームとRDPアクセスの詳細については、こちらをご覧ください

よくある質問

リモートデスクトッププロトコル(RDP)とは?

RDPは、離れた場所からコンピューターの操作を可能にするための共通の技術基準です。企業では、在宅勤務中の社員が会社のPCにアクセスできるようにするためによく使用されます。

RDPに関連する主なセキュリティ上の脆弱性は?

最も大きなリスクは、脆弱なログイン認証情報とポート3389が制限なく公開されていることの2つです。多くの企業はRDPのパスワードのシステム的な一元管理を行っていないため、ユーザーは攻撃者に推測されやすい単純なパスワードやパスワードを使い回してしまうことが多くなります。また、RDPは3389番ポートを使用するため、攻撃者はこの特定のポートを標的にして攻撃を仕掛けたり、不正に侵入することができます。

BlueKeepの脆弱性とは?

BlueKeepは正式にCVE-2019-0708と名付けられた重大なセキュリティ欠陥で、特定のリクエストをRDPポートに送信することで、攻撃者がコンピューター上で不正なプログラムを実行できてしまう問題です。この脆弱性は「wormable(ワーム化可能)」と呼ばれ、ユーザーの操作なしで、ネットワーク内の他のコンピュータへ自動的に拡散できるという特徴があります。

シングルサインオン(SSO)はどのようにリモートデスクトップセッションの保護に役立つか?

RDPとSSOサービスを連携することで、より安全な認証の仕組みの後ろにリモートアクセスを置くことができます。これにより、企業はより厳格なパスワード要件を適用し、二要素認証(2FA)などの追加のセキュリティ層を実装して、より厳しい本人確認をすることができます。

企業が3389ポートを攻撃者から保護する方法は?

安全なトンネリングソフトを使用して許可された経路以外からの通信をブロックする、ファイアウォールで設定を行い信頼できるIPアドレスからの通信だけを許可するといった対策があります。ただし、この方法は大企業の場合、手動での管理は難しい場合があります。

CloudflareはRDP接続の保護にどのように役立つか?

Cloudflareは、すべての接続にゼロトラストセキュリティ制御を適用する高速RDPプロキシを提供します。Cloudflare Accessやセキュアトンネルなどのツールを使用することで、企業はRDPサーバーをパブリックインターネットから隠し、正しい権限を持つ認証済みのユーザーだけがアクセスできるようにすることができます。