許可されたツールによるセキュリティリスク
先日いつも利用しているネット通販から荷物が届き、段ボールを開けたら注文した覚えのない品物が入っていました。他人の荷物がうちに間違って届いたことに気づきました。宅配業者さんに連絡して、すぐ荷物を返しました。
私が大好きなアクション映画によくある郵便や宅配を悪用して爆弾などを送りつけられシーンを思い出しました。幸い今回はただの間違いです。
郵便、宅配のような日常生活では欠かせないサービスを通じて危険物をデリバリーすることと同じように、サイバー攻撃の世界ではよく業務上で利用する正規なツールを悪用して攻撃を仕掛けます。
その中の代表例はRDP(Remote Desktop Protocol)の悪用です。
なぜRDPがよく悪用されるのか
Windowsのユーザーであればリモートデスクトップ接続を利用したことはあるでしょう。実はリモート デスクトップはRDP(Remote Desktop Protocol)というプロトコルを利用して遠隔にあるコンピューターへの接続することを実現しています。
RDP(Remote Desktop Protocol)は、Microsoftによって開発されたプロトコルですが、Linux系の端末にも実装可能です。そのためRDPは、リモートでコンピューターやサーバにアクセスするための仕組みを提供する技術として広く利用されています。
特に新型コロナウイルスの流行に伴い、リモートワークの拡大が進み、サーバ経由でのリモート接続を可能にするRDPの使用が増加しており、それに伴いRDPの脆弱性を狙ったサイバー攻撃も増加しています。
そして最近では、クラウドの普及に伴い、クラウドにある資産をリモートから管理するためにも、RDPは使われています。現在、オンプレでもクラウドの世界でも、RDPは欠かせない存在と言えるでしょう。
これでRDPの重要性と普及度はご理解できたでしょうか?
弊社VMwareの調査では、攻撃者が侵入したネットワーク内で動き回り、さまざまなリソースやシステムに侵入しようとするプロセスであるラテラルムーブメント(Lateral Movement)において、RDPはTOP3のテクニックとしてよく攻撃者によってよく利用されます。
出典:Lateral Movement in the Real World: A Quantitative Analysis
そして警察庁の調査のよりますと、2022年日本国内で発生したランサムウェア被害の中にランサムウェア感染経路の最多はVPNに続き、RDPは第二位となっています。
出典:警察庁「令和4年上半期におけるサイバー空間をめぐる脅威の情勢等について」
なぜ攻撃者は侵入した後に、よくRDP(Remote Desktop Protocol)を利用してネットワーク内部で横移動を実現するかというと、その理由がいくつかあると考えられます。
- リモートアクセスの利便性: RDPは、遠隔からコンピューターやサーバにアクセスするための非常に便利なプロトコルです。そのため、合法的なリモートアクセスのツールとして広く使用されています。しかし、セキュリティ対策が不十分な場合、攻撃者はこれを利用して遠隔から不正にシステムにアクセスできます。
- 広く利用されている: RDPはWindowsオペレーティングシステムに標準的に組み込まれており、多くの組織や個人が利用しています。そのため、攻撃者は攻撃対象を見つけやすいという利点があります。
- 不適切なセキュリティ設定: 多くの場合、組織や個人はRDPを使用する際に適切なセキュリティ設定を行わずにデフォルト設定のままにしていることがあります。これにより、攻撃者は簡単に不正アクセスを試みることができます。
- ブルートフォース攻撃の可能性: RDP接続において弱いパスワードが使用されている場合、攻撃者はブルートフォース攻撃を実行してパスワードを推測し、不正アクセスを試みることができます。
- 匿名性: RDPを悪用する攻撃者は、リモートから活動するため、自分の正体を隠すことが比較的容易です。これにより、攻撃者は匿名性を維持しながら攻撃を行うことができます。
まとめると、諸刃の剣のようにRDPは便利なリモートアクセスツールであり、適切に管理されている場合には非常に有用ですが、不適切なセキュリティ設定や弱いパスワード、セキュリティパッチの不足などの問題がある場合、攻撃者にとっては容易な攻撃ターゲットとなります。
このように、どこにいっても仕事できるような便利な生活を実現してくれるRDPの悪用を防ぐためにどうしたらいいでしょうか?まずはより具体的なイメージを持っていただくために、簡単なサンプル構成を用意して RDPスキャンによる探索と不正アクセスを行うデモをご用意いたしました。
RDPスキャンによる内部探索
RDPスキャン(RDP scanning)は、サイバー攻撃者がネットワーク上のコンピューターやサーバに対して、RDPを利用してアクセスできるかどうかを試す活動です。RDPスキャンは一般的な攻撃手法の一つであり、特にセキュリティ対策が不十分なシステムやデフォルトのセキュリティ設定を持つシステムに対して効果的です。攻撃者は、ブルートフォース攻撃や既知の脆弱性の悪用など、さまざまな手法を使用してRDPアクセスを試みます。
こちらのデモ(脅威説明編)では、攻撃者はネットワークに初期侵入した後に踏み台Windows端末を経由してネットワーク内にRDPでアクセス可能な端末を探します。
RDPによる不正アクセス
その後RDPを利用している端末が見つかりましたら、攻撃者は次にブルートフォース攻撃によるパスワードの推測や、Mimikatzなどのツールを悪用して取得した認証資格情報を持ってターゲット端末にリモートアクセスします。
VMware NSX分散IDS/IPSによる検知・防御
RDPは業務上で最も多く利用する遠隔制御するための通信プロトコルです。特にWindows環境ではデフォルトのツールとして利用されているため、運用上無効化することは難しいです。
そしてデモ動画でお見せしたように境界型防御を突破した後に、ネットワーク内部で探索・横移動のためにRDPは利用されています。このような境界型ソリューションを経由しないトラフィック(いわゆるラテラルムーブメント)は境界型防御で検知・防御することができません。
VMware NSXの分散IDS/IPSはハイパーバイザー上にネイティブでビルドインされたセキュリティ機能であり、既存のネットワークに影響せずすぐ適用することができます。そして網を張れるようなイメージでハイパーバイザーの上に稼働する個々の仮想マシンに対して分散配備する形でセキュリティポリシーを強制させることができます。
詳細はデモ(脅威対応編)をご確認ください。
分散IDS/IPSによって仮想基盤上に発生するRDPスキャンやRDP不正アクセスなどのようなラテラルムーブメントを迅速に取り上げ、攻撃に未然に防止することができるようになります。
分散IDS/IPSによる既知の脆弱性への対処について紹介する過去のブログはこちらです:
許可プロトコルから忍び寄る脅威:ラテラルムーブメント攻撃 vs NSX Security
許可プロトコルから忍び寄る脅威:DNS を悪用した攻撃 vs NSX Security
さいごに
宅配便のチェックを行う必要と同様、RDP(Remote Desktop Protocol)などの正規通信の悪用を防ぐためには、適切なセキュリティ対策を講じることが重要です。RDPの悪用を防ぐための主要な対策として、下記の手法は有効だと考えられます。
ネットワークセグメンテーションの実施:RDPを使用するシステムを他のネットワークから分離し、アクセスできるデバイスを制限します。センシティブなネットワークリソースとRDPアクセスを分離することが大切です。
セキュリティソリューションの導入:侵入検知システム(IDS)、侵入防御システム(IPS)の導入して不正なアクセスを検出しブロックします。
セキュリティパッチの適用:RDPを実行するサーバやクライアントに対してセキュリティパッチとアップデートを適用し、既知の脆弱性からシステムを保護します。
上記の対策は当たり前のことを言っているように見えますが、現実では色々な制限があり、実行するにはハードルは非常に高いです。だから、RDPを悪用した攻撃は絶えることなくむしろこれからも増えていくでしょう。
正規ツール・プロトコルの悪用は対処しなければならないと意識している組織・企業は少なくないと思われますが、境界型ソリューションではカバーできないブラインドスポットを漏れなく撲滅するソリューションがないから放置されがちです。
ご心配なく、ぜひvSphereにビルトインされるNSX Securityに任せてください!NSX Securityで提供される分散FWと分散IDS/IPSと併用することでネットワーク全ての仮想マシンに対して細かい粒度でセグメンテーションを実現すると同時に、許可されたツールにより利用されている許可された通信をさらに精査することによって高度なラテラルセキュリティを仮想基盤上に適用することが可能です。
加えて、今年8月ラスベガスで開催したVMware Exploreで発表されたNSX+は、将来オンプレのデータセンターだけではなく、VMware Cloud、パブリッククラウドに対しても一元したセキュリテイポリシーで管理できる世界を実現するためのクラウドサービスです。
NSX+については日本で開催する「VMware Explore 2023 Tokyo」(2023年11月14日、15日@ザ・プリンス パークタワー東京で開催)でも詳しく披露する予定でございます。企業の皆様に役立つ最新情報やお客様事例など多彩なセッションをご用意していますので、是非ともご参加ください!
関連リンク・記事:
NSX-T Data Center NSX 分散ファイアウォールとは – パート1
NSX-T Data Center NSX 分散ファイアウォールとは – パート2
マイクロセグメンテーションの必要性、より頑丈なマイクロセグメンテーションの作り方
特徴を解説!NSX 分散IDS/IPS でできる 新しい脅威への対策
VMware NSX による ”仮想パッチ” で脆弱性対策にアジリティを
デモ解説!VMware NSX 分散IDS/IPS : 高度標的型攻撃の検知(IDS)と防御(IPS)をやってみる
動画で解説!どうやって設定するの?VMware NSX 分散IDS/IPS
動画で解説!シグネチャ更新と仮想パッチの運用手順 – VMware NSX 分散IDS/IPS
