Microsoft RDP を標的とする大規模スキャン・キャンペーンを観測:30,000+ の IP で構成される攻撃基盤

Hackers Actively Scanning to Exploit Microsoft Remote Desktop Protocol Services From 30,000+ IPs

2025/08/26 CyberSecurityNews — Microsoft Remote Desktop Protocol (RDP) サービスを標的とする、大規模な協調スキャン・キャンペーンが展開されている。脅威アクターたちは、30,000 を超える固有 IP アドレスを配備し、Microsoft RD Web アクセスおよび RDP Web クライアントの認証ポータルの脆弱性を探っている。近年確認された中において、最大級の協調 RDP 偵察キャンペーンであり、大規模な認証情報ベース攻撃のための準備が示唆される。

主なポイント
  • 30,000 以上の IP アドレス攻撃は、記録上最大の Microsoft RDP スキャン・キャンペーンである。
  • 米国の学校が、新学期に入るタイミングでユーザー名列挙攻撃の被害に遭った。
  • 大規模なエクスプロイトに発展する可能性は 80% だとされる。
RDP 攻撃キャンペーン

今回のスキャン・キャンペーンの最初の波は 2025年8月21日に始まっている。そのときには、約 2,000 の IP アドレスが同時に、Microsoft RD Web アクセスおよび Microsoft RDP Web クライアントを標的とした。

Targeting Microsoft RDP Web Access
Graph showing unique IP addresses observed probing Microsoft RD Web Access for authentication vulnerabilities over 90 days, highlighting increased suspicious activity.

ただし、8月24日の時点で、この攻撃は劇的にエスカレートした。セキュリティ研究者たちが検出したのは、同一のクライアント・シグネチャを用いて協調的に調査を実施している、30,000 件以上のユニークな IP アドレスである。それが意味するのは、高度なボットネット基盤、あるいは、協調的なツール・セットの導入である。

Targeting Microsoft RDP Web Client
Graph showing unique IP addresses observed conducting suspicious login enumeration checks against Microsoft RDP Web Client over the last 90 days.

GreyNoise のレポートによると、この攻撃手法は、タイミング・ベースの認証列挙に重点を置いているようだ。この手法は、サーバ・レスポンス時間の僅かな差を利用して、有効なユーザー名を識別するものであり、ブルートフォース攻撃に対する検出メカニズムを回避するものだ。

この手法により、攻撃者はステルス性を維持しながら、包括的なターゲットリストを作成し、その後のクレデンシャル・スタッフィング攻撃やパスワード・スプレー攻撃につなげていける。

ネットワーク・テレメトリ分析の結果として判明したのは、スキャンを実行するインフラの 92% が、過去に分類された悪意のある IP アドレスで構成されており、ブラジルに集中する送信元トラフィックが、全体の 73% に達していることだ。また、標的は米国ベースの RDP エンドポイントのみとなっている。

イニシャル・スキャンで用いられたホスト 1,971 台のうちの 1,851 台に共通する、クライアント・シグネチャ・パターンが示唆するのは、APT 攻撃で用いられる集中型の C2 (Command and Control) インフラである。

教育機関を標的に

このキャンペーンが開始された時期は、米国における新学期のタイミングと一致している。この時期に一般的な教育機関は、新入生向けに RDP 対応のリモート・アクセス・システムを導入する。

教育機関のネットワークでは、予測可能なユーザー名スキーマ (学生 ID/姓名形式) が実装され、列挙攻撃を容易にする条件が整うため、脅威アクターたちにとっては、この標的期間が戦略的に重要となる。

脅威アクターたちは、多段階の偵察活動を行っている。最初に、公開されている RD Web アクセスおよび RDP Web クライアントのエンドポイントを特定し、続いて、認証ワークフローをテストして情報漏洩の脆弱性を探し出す。

この体系的なアプローチにより、今後の攻撃キャンペーンで有用なユーザー名と、アクセス可能なエンドポイントを取り込んだ、包括的なターゲット・データベースを作成できる。

セキュリティ研究者たちが確認したのは、同じ IP インフラから並行的に、オープン・プロキシ・サービスと Web クロール操作へのスキャンが実行されたことだ。それが示唆するのは、包括的なネットワーク偵察用に設計された、多目的脅威ツールキットの存在である。

過去の分析によると、特定のテクノロジーに対する協調的なスキャンが急増すると、そこから6週間以内に、ゼロデイ脆弱性の悪用/発見にいたる可能性が高いという。過去の脅威インテリジェンス調査をベースにすると、その相関率は 80% ほどになるという。

今回の RDP スキャン・キャンペーンの規模と協調性は、脅威アクターの能力の、大幅な向上を示している。したがって、大規模なランサムウェアの展開/認証情報収集操作に加えて、未知の RDP 脆弱性の悪用へ向けた準備が行われている可能性もある。

Microsoft RDP サービスを運用している組織にとって必要なことは、直ちに強化策を実施し、特定されたクライアント・シグネチャを用いた攻撃試行を監視することだ。

この記事で注目すべき点は、RDP 認証ポータルに対する “ユーザー名列挙攻撃” の仕組みです。原因となっているのは、サーバの応答時間のわずかな差異です。本来であれば、存在するかしないかに関わらず同じように応答すべきですが、その時間が微妙に異なることで、攻撃者は有効なユーザー名を推測する可能性を手にします。この手法は、ブルートフォース対策を回避するため、きわめて見つけにくいと、この記事は指摘しています。大規模な IP アドレス群を用いたスキャン活動が行われているため、注意が必要です。よろしければ、RDP で検索も、ご参照ください。