脆弱なユーザー認証とポートを狙う攻撃は、リモートデスクトッププロトコル(RDP)に存在する主な脆弱性の2つです。
この記事を読み終えると、以下のことができるようになります。
関連コンテンツ
是非、Cloudflareが毎月お届けする「theNET」を購読して、インターネットで最も人気のある洞察をまとめた情報を入手してください!
記事のリンクをコピーする
RDP(リモートデスクトッププロトコル)は、従業員がオフィスのデスクトップコンピューターに別のデバイスからアクセスするリモートデスクトップセッションに使用される主要なプロトコルの 1 つです。RDPは、ほとんどの Windowsオペレーティングシステムに組み込まれており、Macでも使用できます。多くの企業が、従業員の在宅勤務を可能にするために、RDPに依存しています。
脆弱性とは、攻撃者による不正アクセスを可能にするソフトウェアの構成方法のギャップまたはエラーのことです。これは、玄関ドアの鍵は防犯性の高いものですが、不適切に取り付けられているために、犯罪者の侵入を許してしまっている状態だと考えてください。
RDPの最も重要な脆弱性は次のとおりです。
*ネットワークにおいてポートとは、特定の種類の接続用に指定された論理回路上のソフトウェアベースの場所を指します。さまざまなポートごとに異なるプロセスを割り当てることは、コンピューターがそれらのプロセスを追跡するのに役立ちます。たとえば、HTTPトラフィックは常にポート80に送信され、HTTPSトラフィックはポート443に送信されます。
脆弱なサインイン認証情報の流布を減らすには:
シングルサインオン(SSO): 多くの企業がすでにSSOサービスを使用して、さまざまなアプリケーションのユーザーログインを管理しています。SSOを使用すると、強力なパスワードの使用を強制するより簡単な方法や、ニ要素認証(2FA)などのより安全な対策を企業が実行できます。前述のユーザーログインの脆弱性を解消するために、RDPリモートアクセスをSSOの背後に移動することができます。(たとえば、Cloudflare Zero Trust では、企業がこれを行うことができます)。
パスワードの管理と適用:一部の企業では、RDPをSSOの背後に移動することは選択肢ではない場合があります。この場合は最低でも、従業員にデスクトップのパスワードをより強力なものにリセットするように求める必要があります。
ポートベースの攻撃から保護するには:
ポート3389をロックダウン: セキュアトンネリングソフトウェアは、攻撃者によるポート3389に到達するリクエストの送信を未然に防ぎます。セキュアトンネリング(Cloudflare Tunnelなど)がある場合、トンネルを通過しないリクエストはブロックされます。
ファイアウォールルール: 許可リストに登録されたIPアドレス範囲(従業員が使用していることがわかっているデバイスなど)からのトラフィックを除き、ポート3389へのトラフィックを通過させないように企業ファイアウォールを手動で設定できます。ただし、この方法には多くの手作業が必要であり、攻撃者が許可リストに登録された IPアドレスを乗っ取ったり、従業員のデバイスが侵害されたりすると、攻撃を受けやすくなります。さらに、従業員のすべてのデバイスを事前に特定して許可リストに登録することは通常、非常に困難であり、その結果、ブロックされた従業員からのIT部門への問い合わせが継続的に発生します。
RDPには、技術的にパッチが適用されている他の脆弱性がありますが、未確認の状態が続いているとすれば、依然として深刻です。
RDPの最も深刻な脆弱性の1つは「 BlueKeep」といいます。BlueKeep(正式には CVE-2019-0708と分類)は、攻撃者が適切なポート(通常は3389)に特別に細工したリクエストを送信した場合、コンピュータ上で必要なコードを実行できる脆弱性です。BlueKeepは「ワーマブル」です。つまり、ユーザーからの操作なしにネットワーク内のすべてのコンピューターに広げることができるということです。
この脆弱性に対する最善の防御は、必要でない限り、RDPを無効にすることです。ファイアウォールを使用してポート3389をブロックすることもできます。最後に、Microsoftは2019年にこの脆弱性を修正するパッチを発行しました。システム管理者がこのパッチをインストールすることは、不可欠です。
他のプログラムやプロトコルと同様に、RDPには他にもいくつかの脆弱性があり、これらのほとんどは常に最新バージョンのプロトコルを使用することで排除できます。ベンダーは通常、リリースするソフトウェアの新バージョンごとに、脆弱性にパッチを当てます。
RDPアクセスを簡素化して保護するために、Cloudflareは自社SASEプラットフォームのゼロトラストセキュリティ制御を組み込んだ高速のRDPプロキシを構築しました。Cloudflareは現在、クライアントレスでブラウザベースのRDPアクセスを提供しています。追加のインフラやクライアントデバイスでの追加の構成は必要ありません。CloudflareのSASEプラットフォームとRDPアクセスの詳細については、こちらをご覧ください。
RDPは、離れた場所からコンピューターの操作を可能にするための共通の技術基準です。企業では、在宅勤務中の社員が会社のPCにアクセスできるようにするためによく使用されます。
最も大きなリスクは、脆弱なログイン認証情報とポート3389が制限なく公開されていることの2つです。多くの企業はRDPのパスワードのシステム的な一元管理を行っていないため、ユーザーは攻撃者に推測されやすい単純なパスワードやパスワードを使い回してしまうことが多くなります。また、RDPは3389番ポートを使用するため、攻撃者はこの特定のポートを標的にして攻撃を仕掛けたり、不正に侵入することができます。
BlueKeepは正式にCVE-2019-0708と名付けられた重大なセキュリティ欠陥で、特定のリクエストをRDPポートに送信することで、攻撃者がコンピューター上で不正なプログラムを実行できてしまう問題です。この脆弱性は「wormable(ワーム化可能)」と呼ばれ、ユーザーの操作なしで、ネットワーク内の他のコンピュータへ自動的に拡散できるという特徴があります。
RDPとSSOサービスを連携することで、より安全な認証の仕組みの後ろにリモートアクセスを置くことができます。これにより、企業はより厳格なパスワード要件を適用し、二要素認証(2FA)などの追加のセキュリティ層を実装して、より厳しい本人確認をすることができます。
安全なトンネリングソフトを使用して許可された経路以外からの通信をブロックする、ファイアウォールで設定を行い信頼できるIPアドレスからの通信だけを許可するといった対策があります。ただし、この方法は大企業の場合、手動での管理は難しい場合があります。
Cloudflareは、すべての接続にゼロトラストセキュリティ制御を適用する高速RDPプロキシを提供します。Cloudflare Accessやセキュアトンネルなどのツールを使用することで、企業はRDPサーバーをパブリックインターネットから隠し、正しい権限を持つ認証済みのユーザーだけがアクセスできるようにすることができます。
利用開始
アクセス管理について
ゼロトラストについて
VPNリソース
用語集