[ランサムウェア]リモートデスクトップを使ったリモートワークが狙われている!

テレワーク
リモートデスクトップを使ったリモートワークは危険かも!?

新型コロナの影響でリモートワークをされている方は多いと思います。そんな中、リモートデスクトップを利用している環境を狙ったランサムウェア被害が多発しています。

なぜリモートデスクトップが狙われるのでしょうか?そしてどうやって被害を防げばよいのでしょうか?

ランサムウェアとは

ランサムウェア

感染するとPC内のファァイルを勝手に暗号化し、元に戻す代わりに身代金を要求してくる不正プログラムのことです。

最近では米国の石油パイプライン企業のColonial Pipelineがランサムウェアの被害に遭い、市場に大きな影響が出ています。

ITmedia NEWS
 
https://www.itmedia.co.jp/news/articles/2105/14/news056.html
ランサムウェア攻撃を受けたColonial、500万ドルの身代金を支払ったとの報道
ランサムウェア攻撃を受けた米Colonialは既に身代金をおよそ500万ドル(約5億5000万円)支払ったと報じられた。米連邦政府は「一般に身代金支払いは犯罪を助長する」と懸念を表明した。

リモートデスクトップとは

Microsoftが提供している、PCをリモートで操作をするためのソフトウェアです。IDとパスワードがあれば、遠くにあるPCを画面を通して操作可能になります。

なぜリモートデスクトップが狙われやすいのか?

  • デフォルトでパスワードの認証回数制限が無いから
  • デフォルトで多要素認証ができないから
  • リモートワークで使用している人が多いから

デフォルトでパスワードの認証回数制限が無いから

デフォルトではWindowsへのログインに失敗しても何度もやり直しができます。

そのためブルートフォースアタック(総当り攻撃)に弱く、パスワードが十分に複雑ではない場合、簡単に突破されてしまいます。

デフォルトで多要素認証ができないから

今では一般的な多要素認証ですが、デフォルトでは使用することができません。

IDとパスワードだけでインターネットに晒すのはかなり危険です。

そもそも危険性を認識せずにリモートワークで使用している人が多い

新型コロナ禍の影響でリモートワークをする人が一気に増えました。

持ち出したPCのデータとインターネット上の情報だけで仕事が完結するなら問題ありませんが、社内のリソースにアクセスしなければならないケースはどうしても起こります。そんな時に利用されるのが自宅から社内へリモートデスクトップでアクセスする方法です。馴染みがあり分かりやすいため利用している人が多いです。

問題なのは、危険性に気付かず安易にリモートデスクトップサーバをインターネットに開放してしまっていることです。

できるだけ安全にリモートデスクトップを使用する方法

リモートデスクトップを使わないとどうしても仕事にならない方は多いと思います。せめて、できる限りの安全策は取っておきましょう。

アカウントロックアウトを使用する

アカウントロックアウトとは、ログインに失敗したら一定期間ログイン不可にする機能です。

アカウントロックアウトを使用するには「アカウントのロックアウトのしきい値」「アカウントロックアウトカウンターのリセット」「アカウントのロックアウト期間」の3つの項目を設定する必要があります。

例えば以下の設定にした場合、

  • アカウントのロックアウトのしきい値:10
  • アカウントロックアウトカウンターのリセット:10分
  • アカウントのロックアウト期間:15分

10分以内に10回ログインに失敗したら、15分間ロックアウト(ログイン不可)されます。

アカウントロックアウトのしきい値 (Windows 10) – Windows security | Microsoft Docs
アカウントロックアウトカウンターのリセット後 (Windows 10) | Microsoft Docs
アカウントのロックアウト期間 (Windows 10) | Microsoft Docs

パスワードを複雑にする

INTERNET Watch
 
https://internet.watch.impress.co.jp/docs/column/shimizu/1195372.html
簡単なパスワードでRDPを空けておいたら、数時間でハッキングされマイニングツール...
 やってしまった……。外部からリモートデスクトップ接続可能な状態にしたWindows Serverが、わずか6時間で乗っ取られ、マイニングマシンに仕立て上げられる結果に。「大丈夫かなぁ」との不安が見事に的中してしまった。やはりノーガードはダメということを、身をもって体験することになった。

この記事でも紹介されているように、簡単なパスワードを設定していると簡単に侵入されてしまいます。

可能な限り複雑にすると侵入される可能性は減ります。(絶対ではない)

ポート番号を変える

リモート デスクトップのリッスン ポートを変更する | Microsoft Docs

リモートデスクトップのデフォルトのポート番号は3389です。そのポート番号を狙い撃ちした攻撃を防ぎます。

ただ、ポート番号を変更してもポートスキャンされればすぐに分かってしまいます。あくまでデフォルトのままよりは安全程度で考えておきましょう。

分かりづらいユーザーIDにする

ログインするにはユーザーIDとパスワードが必要です。

パスワードを複雑にするように、ユーザーIDも分かりづらいものにしましょう。

間違っても「Administrator」「Admin」「User」なんて単語は使わないように!

接続元のIPアドレスを制限する

以下の3つの項目について、パブリックからの受信を制限します。

  • リモートデスクトップ – シャドウ(TCP受信)
  • リモートデスクトップ – ユーザーモード(TCP受信)
  • リモートデスクトップ – ユーザーモード(UDP受信)

ファイアウォール設定

▼接続元のIPアドレスを追加します。
IPアドレス設定

多要素認証を導入する

多要素認証を導入するサービスを提供しているサードパーティがいくつかあります。具体的には紹介しませんが、そのようなサービスを利用するとIDとパスワードが分かっても簡単には侵入されなくなります。

VPN経由で使用する

リモートで社内リソースに接続するのであればVPNは鉄板でしょう。

ただしVPNだから絶対に安全か?言われればそうではありません。インターネットVPNの場合、インターネットに公開されている点ではリモートデスクトップサーバーと変わらず、油断すると簡単に侵入されてしまいます。

blog.trendmicro.co.jp
 
https://blog.trendmicro.co.jp/archives/27830
ランサムウェア「Cring」の被害が国内で拡大、VPN脆弱性を狙い侵入 | トレンドマイ...
レンドマイクロでは、2021年に入り新たに登場したランサムウェア「Cring(クリング)」の被害が国内で拡大していることを確認しました。トレンドマイクロが2021年1~4月の間にインシデント対応を支援したランサムウェア被害事例のうち、およそ7割が「Cring」によるものでした。

アカウント管理をちゃんとやる、VPN機器のファームウェアを最新にするなどやるべきことはやりましょう。

最後に

リモートデスクトップサーバーを直接インターネットに公開することはできる限り避けましょう。

適切に管理されているVPN経由での利用を強くすすめます。