#main-nav-header { display:none; }

RDPセキュリティリスクとは何か| RDP の脆弱性

脆弱なユーザー認証とポートを狙う攻撃は、リモートデスクトッププロトコル（RDP）に存在する主な脆弱性の2つです。

学習目的

この記事を読み終えると、以下のことができるようになります。

リモートデスクトッププロトコル (RDP) のリスクが分かる
これらの脆弱性から保護する方法を理解する
CloudflareのRDPセキュリティソリューションについて理解する

さらに詳しく知りたいとお考えですか？

是非、Cloudflareが毎月お届けする「theNET」を購読して、インターネットで最も人気のある洞察をまとめた情報を入手してください！

記事のリンクをコピーする

RDPとは？

RDP（リモートデスクトッププロトコル）は、従業員がオフィスのデスクトップコンピューターに別のデバイスからアクセスするリモートデスクトップセッションに使用される主要なプロトコルの 1 つです。RDPは、ほとんどの Windowsオペレーティングシステムに組み込まれており、Macでも使用できます。多くの企業が、従業員の在宅勤務を可能にするために、RDPに依存しています。

RDPにおける主なセキュリティの脆弱性は何か

脆弱性とは、攻撃者による不正アクセスを可能にするソフトウェアの構成方法のギャップまたはエラーのことです。これは、玄関ドアの鍵は防犯性の高いものですが、不適切に取り付けられているために、犯罪者の侵入を許してしまっている状態だと考えてください。

RDPの最も重要な脆弱性は次のとおりです。

脆弱なユーザーのサインイン認証情報。ほとんどのデスクトップコンピュータはパスワードで保護されており、ユーザーは通常、このパスワードを任意のパスワードに設定することができます。問題は、同じパスワードがRDPリモートログインにもよく使用されることです。企業では通常、これらのパスワードを管理して強度を確保することはなく、多くの場合、これらのリモート接続をブルートフォース攻撃（総当たり攻撃）やクレデンシャルスタッフィング攻撃に開放したままにしています。
制限されていないポートへのアクセス。RDP接続は、ほとんどの場合、ポート3389*で行われます。攻撃者は、このポートが使われているという前提のもと、これを標的としてオンパス攻撃を仕掛けます。

*ネットワークにおいてポートとは、特定の種類の接続用に指定された論理回路上のソフトウェアベースの場所を指します。さまざまなポートごとに異なるプロセスを割り当てることは、コンピューターがそれらのプロセスを追跡するのに役立ちます。たとえば、HTTPトラフィックは常にポート80に送信され、HTTPSトラフィックはポート443に送信されます。

RDPの脆弱性の対処方法には何があるか

脆弱なサインイン認証情報の流布を減らすには：

シングルサインオン（SSO）： 多くの企業がすでにSSOサービスを使用して、さまざまなアプリケーションのユーザーログインを管理しています。SSOを使用すると、強力なパスワードの使用を強制するより簡単な方法や、ニ要素認証（2FA）などのより安全な対策を企業が実行できます。前述のユーザーログインの脆弱性を解消するために、RDPリモートアクセスをSSOの背後に移動することができます。（たとえば、Cloudflare Zero Trust では、企業がこれを行うことができます）。

パスワードの管理と適用:一部の企業では、RDPをSSOの背後に移動することは選択肢ではない場合があります。この場合は最低でも、従業員にデスクトップのパスワードをより強力なものにリセットするように求める必要があります。

ポートベースの攻撃から保護するには：

ポート3389をロックダウン： セキュアトンネリングソフトウェアは、攻撃者によるポート3389に到達するリクエストの送信を未然に防ぎます。セキュアトンネリング（Cloudflare Tunnelなど）がある場合、トンネルを通過しないリクエストはブロックされます。

ファイアウォールルール： 許可リストに登録されたIPアドレス範囲（従業員が使用していることがわかっているデバイスなど）からのトラフィックを除き、ポート3389へのトラフィックを通過させないように企業ファイアウォールを手動で設定できます。ただし、この方法には多くの手作業が必要であり、攻撃者が許可リストに登録された IPアドレスを乗っ取ったり、従業員のデバイスが侵害されたりすると、攻撃を受けやすくなります。さらに、従業員のすべてのデバイスを事前に特定して許可リストに登録することは通常、非常に困難であり、その結果、ブロックされた従業員からのIT部門への問い合わせが継続的に発生します。

RDPには他にどのような脆弱性があるか

RDPには、技術的にパッチが適用されている他の脆弱性がありますが、未確認の状態が続いているとすれば、依然として深刻です。

RDPの最も深刻な脆弱性の1つは「 BlueKeep」といいます。BlueKeep（正式には CVE-2019-0708と分類）は、攻撃者が適切なポート（通常は3389）に特別に細工したリクエストを送信した場合、コンピュータ上で必要なコードを実行できる脆弱性です。BlueKeepは「ワーマブル」です。つまり、ユーザーからの操作なしにネットワーク内のすべてのコンピューターに広げることができるということです。

この脆弱性に対する最善の防御は、必要でない限り、RDPを無効にすることです。ファイアウォールを使用してポート3389をブロックすることもできます。最後に、Microsoftは2019年にこの脆弱性を修正するパッチを発行しました。システム管理者がこのパッチをインストールすることは、不可欠です。

他のプログラムやプロトコルと同様に、RDPには他にもいくつかの脆弱性があり、これらのほとんどは常に最新バージョンのプロトコルを使用することで排除できます。ベンダーは通常、リリースするソフトウェアの新バージョンごとに、脆弱性にパッチを当てます。

Cloudflareはリモートアクセスの保護にどのように役立つか

Cloudflare Zero TrustとCloudflare Tunnelは、上記のRDPの2つの主要な脆弱性を共同で遮断することで、リモートアクセスのセキュリティを強化します。Cloudflareの利点の1つは、一般的な企業のファイアウォールとは異なり、Cloudflareがハードウェアベースではないため手動の設定を必要としないことです。Argo Tunnelを使用すると、Cloudflareのダッシュボードから数回クリックするだけで、簡単にRDP接続が保護できます。CloudflareとRDPの詳細については、ブログ記事をお読みになるか、このデモをご覧ください。

利用開始

アクセス管理について

ゼロトラストについて

VPNリソース

ラーニングセンターナビゲーション