RDP は諸刃の刃:利便性を損なうことなく安全に使用するには

RDP: a Double-Edged Sword for IT Teams – Essential Yet Exploitable

2025/02/28 TheHackerNews — Remote Desktop Protocol (RDP) は、Microsoft が開発した素晴らしいテクノロジーであり、ネットワーク経由で他のコンピューターにアクセスし、それを制御できる。オフィスに置かれたコンピューターを、どこへでも持ち歩けるようなものだ。企業側から見ると、IT スタッフによるシステムのリモート管理が達成され、自宅にいる従業員であっても、作業が可能になる。つまり、RDP は、いまの仕事の環境における、真のゲーム・チェンジャーである。

ただし、ここに落とし穴がある。RDP は、インターネット経由でアクセスできるため、非倫理的なハッカーの主要ターゲットになる。つまり、不正アクセスを達成した人物に、システムを乗っ取られる可能性がある。そのため、RDP の適切な保護が、きわめて重要となる。

利便性とリスク:IT チームが RDP に依存する理由

Kaseya の SMB (medium-sized businesses) および MSP (Managed Service Providers) においては、その顧客の 50% 以上が、効率性と柔軟性のため、日常業務に RDP を使用している。

  • コストとダウンタイムを削減: IT チームは技術的な問題をリモートで解決できるため、移動のための遅延やコストがゼロになる。
  • ビジネス継続性のサポート:従業員と管理者は、会社のシステムに、どこからでも安全にアクセスできる。
  • スケーラブルな IT 管理を実現:MSP のケースでは、単一のインターフェイスから複数のクライアント・ネットワークを監視できるようになる。

このようなメリットにより、RDP は広く使用されているため、攻撃ベクターとしても魅力的であり、適切に保護するためには、常に注意が必要だ。

RDP
新たな懸念:ポート 1098 スキャンの増加

通常において、RDP はポート 3389 を介して通信する。ただし、2024年12月の Shadowserver Foundation のレポートなどでは、懸念すべき傾向が強調されている。いまのハッカーたちは、脆弱な RDP システムを見つけるために、あまり馴染みのない代替ルートである、ポート 1098 をスキャンしているとのことだ。

この傾向を把握するために、毎日最大で 740,000 の異なる IP アドレスが RDP サービスをスキャンしている状況が、ハニーポット・センサーで観察されているとのことだが、かなりの件数のスキャンが、1つの国から行われているという。これらのスキャンを悪用する攻撃者は、ミスコンフィグや脆弱のあるシステムや、適切に保護されていない可能性のあるシステムを見つけ出し、パスワードの推測や弱点の悪用による侵入を試行しているという。

特に中小企業や MSP にとって、これらの悪意の手法により、データ侵害/ランサムウェア感染、予期しないダウンタイムなどの、深刻な問題のリスクが高まると予測される。

セキュリティ・パッチの適用

これらのリスクについては、Microsoft も認識しており、セキュリティ脆弱性を修正するための更新プログラムを定期的にリリースしている。たとえば、2024年12月に Microsoft は、Windows RDP に関連する9つの主要な脆弱性に対処した。これらの修正は、セキュリティの専門家により特定された、さまざまな問題を対象としており、既知の弱点が簡単に悪用されないことを保証するものとなる。

その後の 2025年1月の更新で、さらに2つの深刻場な脆弱性 CVE-2025-21309CVE-2025-21297 が修正された。これらの脆弱性が対処されずに放置されると、パスワードを必要としない攻撃者が、システム上で有害なコードをリモートで実行する可能性が生じるという。

Kaseya の vPenTest と RDP

インターネットに公開されている RDP は、ミスコンフィグにより、想定外の動きを引き起こすことが多い。これまでに Kaseya が実施した 28,729 回の外部ネットワーク・ペンテストでは、パブリック・インターネットに公開されている 368 件の RDP のインスタンスが見つかったという。内部ネットワークでは、Bluekeep のインスタンスが 490 件ほど発見されたという。

外部/内部ネットワークを保護するための、積極的な方式を模索する組織にとっては、vPenTest のようなツールは極めて貴重である。vPenTest は、以下の機能を提供する:

自動化されたネットワーク侵入テスト:このプラットフォームでは、外部/内部ネットワークでのペンテストを実行する。IT プロフェッショナルは、管理しているネットワークに対して、攻撃者と同じ攻撃を試行することで、セキュリティ制御をテストし、ネットワークを積極的に保護できるようになる。

マルチテナント:このプラットフォームは、複数のタスクをこなす多機能 IT チームへ向けに構築されている。したがって、IT プロフェッショナルは、プラットフォーム内で複数の企業の、すべてのペンテスト契約を管理できる

詳細なレポートとダッシュボード:vPenTest は、エグゼクティブ・サマリーや極めて詳細なテクニカル・レポートなどの、各種のレポートを生成できる。また、このプラットフォームには評価用のダッシュボードが提供されるため、IT プロフェッショナルは、調査結果/推奨事項/影響を受けるシステムを、すばやく確認できる。

このようなテクノロジーにより、IT プロフェッショナルは、管理する組織に対して、大規模なネットワーク・ペンテストを頻繁に実施できるようになった。

Datto EDR と RDP のセキュリティ保護

追加の保護レイヤーを求める組織にとって、Datto EDR (Endpoint Detection and Response) などのツールは、きわめて重要である。Datto EDR は、以下の機能を提供する:

  • リアルタイムでの脅威検出:RDP トラフィックを監視して、予期しないアクセス試行や異常なポート使用などの動作を検出し、疑念が生じる場合にはアラートを発する。
  • 自動応答:疑わしいアクティビティが検出された場合には、システムは脅威を自動的に防止/隔離し、潜在的な侵害を即座に阻止する。
  • 詳細なレポート:包括的なログとレポートにより、インシデントの最中に起こったかことを管理者は把握し、将来に向けた防御の強化に応用できる。

つまり、Datto EDR を使用すると、企業は RDP のメリットを享受しながら、最新の脅威からシステムを保護できる。

RDP を強固にするための実用的なヒント

RDP 設定におけるセキュリティ保護に役立つ、いくつかの簡単なヒントを紹介する:

  • タイムリーなパッチ適用:更新プログラムが提供されたときには、速やかにインストールすべきである。それぞれのベンダーが、新しい脆弱性に対処するためのパッチを頻繁にリリースしている。
  • 露出の制限:RDP アクセスを、信頼できる担当者だけに制限し、デフォルト・ポート (3389) の使用を、予測し難いポートへと、変更することを検討してほしい。
  • 多要素認証の使用: 検証のために MFA や Network Level Authentication などを追加することで、攻撃者からのアクセスが、はるかに難しくなる。
  • 強力なパスワードの適用:ブルートフォース攻撃を阻止するために、最小の長さ要件を満たす複雑なパスワードを使用する。

これらの手順を実行することで、RDP サービスがサイバー攻撃のエントリ・ポイントになるリスクを大幅に軽減できる。

RDP は重要なツールだが、セキュリティの改善が必要

RDP は、リモート・ワークと効率的なシステム管理を可能にし、ビジネスの運営方法を変革した重要なツールである。ただし、強力なツールには、独自のリスクが伴うことを忘れないでほしい。攻撃者たちは、ポート 1098 などの新しい手段を模索し、脆弱性を悪用する方法を継続的に見つけ出そうとしている。したがって、セキュリティ・アップデートとベスト・プラクティスについて、常に把握しておくことが重要となる。

具体的には、システムへのパッチ適用/アクセスの制限/多要素認証の利用に加えて、Datto EDR などの高度なソリューションを採用することで、組織のセキュリティを損なうことなく RDP の柔軟性を活用できる。

リモートワークにおいて RDP はとても便利なものですが、そのセキュリティ・リスクも無視できません。最新の脆弱性情報を把握し、適切なセキュリティ・パッチの適用や設定の見直しを行うことが重要です。​よろしければ、以下の関連記事も、RDP で検索と併せて、ご参照ください。

2024/11/27:RDP の CVE-2020-1472 を狙う Elpaco ランサムウェア
2024/10/30:悪意の RDP コンフィグを展開する Midnight Blizzard
2023/07/20:RDP は便利だが RCE が怖い:攻撃者が狙う脆弱性とは
2023/06/20:RDP 侵害に特化した RDStealer というマルウェアが登場