攻撃者は、公開されているRDPサーバーを探しています

April 28, 2020 Gil Rapaport

Privileged Access Management and Remote Desktop Protocol (RDP)

Covid-19の発生から3月末までに、Shodan(インターネットに接続されたデバイスをスキャンしてインデックスを作成するグローバル検索エンジン)により、リモートデスクトッププロトコル(RDP)使用率が41%急増していることが追跡されています。

このような不確実な状況の中で、リモートワーカーをサポートして業務を維持するために、RDPの使用が増加しています。RDPは、セッション全体を暗号化しないリモート接続ツールよりも安全ですが、過去1年間で公開された2つの重要なRDPの脆弱性BlueKeepおよびDejaBlueによる潜在的なセキュリティリスクが明らかになっています(詳細については、脅威調査ブログを参照してください)。

最近のSANSテクノロジーインスティテュートのポッドキャストで、研究学部長ヨハネス・B・ウルリッヒ博士は、RDPサーバー公開の急激な増加(20~30%)を報告し、この急増を現在在宅勤務中のシステム管理者の数に結び付けています。これらのシステム管理者は「パワーユーザー」であり、特権アクセスを使用して、現在リモートロケーションからサーバーを管理しています。

サイバー攻撃者は、リモートで作業するシステム管理者の特権アクセスを利用して、公開された内容を確認するために標準のRDPポート3389をスキャンすることにより多くのリソースを費やしています。また、自動化ツールを使用してブルートフォース攻撃を仕掛け、ユーザー名と認証情報の組み合わせを体系的にテストてコードを解読しています。

管理者の特権認証情報を取得した攻撃者は、IT環境に侵入して水平移動し、ドメインコントローラーやクラウドコンソールなどの重要なターゲットに到達するまで特権をエスカレートさせることができます。このアクセスにより、ネットワーク上のあらゆるサーバ、コントローラ、エンドポイント、またはデータを制御できます。これにより、コマンドの実行、ウイルス対策ソフトウェアの無効化、マルウェアのインストール、身代金目的のデータの暗号化、PIIなどの重要なデータの盗難などの犯罪が企てられます。

RDPセキュリティを強化し、データ侵害のリスクを軽減するために、組織が実行できるいくつかの手段があります。

  1. 特権アクセスを制限。デフォルトでは、すべての管理者がRDPにログインできます。最小限の特権の原則を実施することで、これを管理者特権が絶対に必要なユーザーのみに制限できます。さらに、ディレクトリサービスに参加していないリモートベンダーに対してジャストインタイムプロビジョニングを適用することで、アクセス時間を制限することができます。特にドメインコントローラーやクラウドコンソールなどのティア0アセットの場合は、特権セッション中のすべてのユーザーアクセスとアクティビティを監視および追跡できます。
  2. Windows 7ワークステーションを含む、インターネットに接続しているすべてのリモートWindowsマシンのソフトウェアを最新の状態に保ちます。
  3. NLAを有効にする。ネットワークレベル認証(NLA)は、接続が確立される前に追加のレベル認証を提供します。
  4. 公開を避ける。RDPサーバーをファイアウォールの背後に置きます。マシンとサーバーを公開する重要なデータと内部システムを危険にさらす可能性のあるインターネットに直接RDP接続を許可しないでください。
  5. 強力なパスワードと多要素認証を使用。ブルートフォースツールは高度化しています。強力なパスワードポリシーに従う必要があり、多要素認証が必須です。加えて、パスワードやその他のネットワークベースのアクセス制御を完全に排除するツールを検討することを推奨します。

CyberArk Privileged Access Security Solutionなどの特権アクセス管理(PAM)ツールは、組織が安全なRDP接続を確立するのに役立ちます。特権資格情報をデジタルボールトで一元的に格納および管理し、ユーザーの権限に従ってアクセスを付与できます。Webブラウザー・セッションを分離および暗号化できます。特権ユーザーのアクティビティを厳重に監視および制御して、SOCチームが疑わしいアクティビティに即座に対応できるようにフラグを付けることができます。

作業、メンテナンスおよびその他の目的で重要なITシステムにアクセスするリモートワーカーは、必要な認証情報にエンドポイントを公開しないネイティブワークフローを使用できます。さらに、これらの強力なPAMコントロールをRDPを超えて拡張させて、Unix/LinuxへのSSH認証など、あらゆるWeb対応システムへのリモート接続を保護するのに役立てることができます。

詳細については、4月28日のウェビナー特権アクセス101:貴社のセキュリティ対策を変革にご登録ください。またウェビナーをオンデマンドでいつでもご覧いただけます。

以前の記事
「新しい常識」のサイバーセキュリティの課題への取り組み
「新しい常識」のサイバーセキュリティの課題への取り組み

わずか1か月の間に、「通常どおりの働き方」が瞬く間に様相を変えてしまいました。何百万人もの人々がリモートで働き、激変するビジネス優先事項に重点を置くために再配置され、仕事に関する不確実性に向き合っています。ITチー...

次の記事
Office Exodusによるエンドポイント(In)のセキュリティ強化 | CyberArk
Office Exodusによるエンドポイント(In)のセキュリティ強化 | CyberArk

世界中で予想もしなかった勢いでリモートワークへの移行が進んでいます。このような状況において、CISCO社では、従業員を迅速に稼働させ、不確実性に直面した場合に決定的なリーダーシップを発揮する能力を試行しています。...