1. HOME
  2. Blog
  3. Blog
  4. 海外ブログ
  5. バラクーダの注目する脅威:昨年、攻撃者に最も狙われたリモートデスクトップツール

Info.

お知らせ

海外ブログ

バラクーダの注目する脅威:昨年、攻撃者に最も狙われたリモートデスクトップツール

バラクーダの注目する脅威:昨年、攻撃者に最も狙われたリモートデスクトップツール のページ写真 1

2024年5月 1日、Jonathan Tanner

リモートデスクトップソフトウェアを使えば、従業員はホストデバイスと物理的にリンクしていなくても、また同じ場所にいなくても、コンピュータネットワークに接続することができます。そのため、分散した、あるいは遠隔地にいる従業員にとって便利なツールとなっています。しかし残念ながら、リモートデスクトップソフトウェアはサイバー攻撃の格好の標的でもあります。

リモートデスクトップソフトウェアを導入する IT チームが直面するセキュリティ上の課題の1つは、多くの異なるツールがあり、それぞれが異なる、時には複数のポートを使用して動作することです。ポートとは、コンピュータが異なる種類のトラフィックを区別できるようにするための仮想的な接続ポイントです。様々なツールを利用すると、つまり複数のポートを使用すると、ITセキュリティチームが悪意のある接続やその後の侵入を監視し、発見することが難しくなります。

リモートデスクトップソフトウェアに対して使用される最も単純で一般的な攻撃方法は、強度の弱い、繰り返し利用される認証情報か、フィッシングした認証情報の悪用です。これらの認証情報は、ユーザーがアクセスできるシステムへの即時アクセスを攻撃者に提供します。リモートデスクトップソフトウェアの実装は、ソフトウェアバグの悪用やテクニカルサポート詐欺に対しても脆弱である可能性があります。

本稿では、最も一般的なツール、関連するポート、攻撃者がアクセスする方法について検証します。

過去1年間で最も多く標的となったリモートデスクトップツール

VNC仮想ネットワークコンピューティング)–ポート 5800+, 5900+

RFB プロトコルを使用する VNC は、プラットフォームに依存しないツールとして広く使用されています。これを通してユーザーやデバイスは、OSに関係なくサーバーに接続できます。VNC は、特にAppleのリモートデスクトップや画面共有ソリューションの基本ソフトウェアとして使用されています。また、サイバー攻撃の標的として増加している公益事業などの重要なインフラストラクチャ業界でも広く使用されています。

バラクーダのデータソースによると、VNC は昨年、最も標的となったリモートデスクトップツールで、すべてのリモートデスクトップ専用ポートのトラフィックの 98%を占めています。

これらの攻撃の 99%以上が HTTP ポートを標的としており、残りの1%は TCPを標的としています。その理由としては、Web サイトへのアクセスに使用されるプロトコルである HTTP が、アプリやデバイス間のデータ交換に使用される TCP とは異なり、特定の認証を必要としないためと考えられます。

観測された VNC に対する攻撃のほとんどは、弱いパスワードや再利用されたパスワードの総当たりを試みていました。攻撃の対象となった最も一般的な脆弱性は CVE-2006-2369 で、18年前に誕生した RealVNC 4.1.1 の認証をバイパスすることができます。

VNC にはいくつかのソフトウェアがあり、それぞれ機能や特徴が微妙に異なっています。パスワードが8文字に制限されているものもあり、攻撃者にとってはパスワードをクラックしてアクセスするのがかなり容易です。デフォルトでは、VNC のトラフィックは暗号化されませんが、セキュアシェル、SSH、VPN トンネリングを使ってトラフィックを暗号化するソリューションもあり、セキュリティ強化に役立っています。

VNCには使用できるポートがあります。基本ポートは TCP 接続用の 5800 と HTTP 用の 5900 ですが、異なるディスプレイに接続できるように、ディスプレイ番号(仕様ではNと呼ばれる)が基本ポートに追加されます。物理的なディスプレイは0であり、これは基本ポートに対応しますが、接続や攻撃はより高いポート番号も活用できます。このため、ほかのリモートデスクトップソリューションのように厳密に定義されたポートが1つか2つあるわけではないので、セキュリティの観点からは複雑になります。

多くの攻撃者がプロキシや VPN を使用して本当の出どころを偽装しているため、攻撃の地理的な情報を正確に特定するのは難しいですが、VNC を標的にした悪質なトラフィックの約60%は、中国から来ているようです。

RDPリモートデスクトッププロトコル)–ポート 3389

RDP は、Microsoftがリモートデスクトップ用に作成した比較的一般的なプロプライエタリ・プロトコルです。RDP は、当社が昨年検出したリモートデスクトップツールに対する攻撃の試みの約1.6%にとどまっていました。しかし、ネットワークやデータに対する大規模な攻撃では、VNC よりも RDP が関与する可能性が高くなります。

RDP 攻撃は、マルウェア(多くの場合、ランサムウェアクリプトマイナー)の展開や、DDoS 攻撃の一部として脆弱なマシンを利用するために使用されることがよくあります。

攻撃の試みのおよそ6回に1回(15%)は、旧式のCookieが関与していました。これは、攻撃者が RDP ソフトウェアの古いバージョン、つまりより脆弱なバージョンを特定し、追加攻撃を行うための意図的な戦術である可能性があります。

ほかのリモートデスクトップサービスと同様に、RDP は主にクレデンシャルベースの攻撃を標的としています。しかし、ターゲットとするシステム上でリモートコード実行(RCE)を可能にするいくつかの深刻な脆弱性が長年にわたって報告されています。代表的な脆弱性には、RDP 認証に使用されるクレデンシャル・セキュリティサポートプロバイダー(CredSSP)に影響を及ぼす CVE-2018-0886、ワームに変身させることが可能なBlueKeep としても知られる CVE-2019-0708(ただし、野生のワームは報告されていない)、Hyper-V 仮想マシンインスタンスをエスケープしてハイパーバイザーにアクセスする手段を攻撃者に提供する CVE-2019-0887 などがあります。

また、攻撃者が RDP を使用して、ワークステーションを管理できるより特権的なアカウントのパスワードハッシュを取得することも可能です。これは、RDP サーバーが有効になっているシステムに対する攻撃の一環である場合もあれば、攻撃者がすでに侵害したシステムで RDP を有効にして特権を昇格させる場合もあります。

しかし、このような潜在的にリスクの高い RCE 脆弱性があるにもかかわらず、RDP に対して観測されたエクスプロイトのほとんどはサービス拒否の脆弱性であり、観測されたトラフィックの 9%を占めています。

RDP は、マイクロソフトのサポートを装ったビッシング(音声/電話によるフィッシング)攻撃にも使用されています。この攻撃は、標的のマシンに技術的な問題があり、RDP アクセスを有効にして攻撃者に許可すれば修正できると信じ込ませることで、ユーザーをだますことを目的としています。また、脆弱性やクラックされた RDP インスタンスをほかの攻撃者に販売するアンダーグラウンド市場も存在し、1インスタンスあたり数ドルで取引されています。

このデータによると、RDP に対する攻撃の大半は北米から発生しており(攻撃の約 42%を占める)、次いで中国、インドとなっています。ただし、前述のように、プロキシやVPNの使用により、実際の攻撃元の難読化が可能です。

TeamViewer–ポート5938

TeamViewer を標的とした攻撃は、データソースがカバーするすべてのリモートデスクトップポートにおいて、悪意のあるトラフィックの0.1%を占めました。検出された少数の攻撃は、Log4Shell の脆弱性に関連しており、ツールの中央管理ハブである Frontline Command Center(Java を使用する唯一の TeamViewer アプリケーションと思われる)を標的としているようです。

TeamViewer の最新バージョンは、Microsoft Teams、Salesforce、ServiceNow などとの統合や企業での使用を目的としています。企業向け製品として、TeamViewer はデバイスのフィンガープリンティング、自動生成された認証情報(弱いパスワードや再利用されるパスワードを防ぐ)、不正な認証情報に対する指数関数的バックオフ(不正な認証情報が使用されるたびに待ち時間を指数関数的に増加させ、ブルートフォース攻撃から保護する)、多要素認証(MFA)など、より多くのセキュリティ機能を提供しています。また、TeamViewer クライアントとサーバー間のトラフィックはすべて暗号化され、セキュリティが強化されています。

しかしながら、これらの保護にもかかわらず、TeamViewer が攻撃に使用されたり、攻撃の標的にされたりすることがあります。これは多くの場合、偽造された、または安全に共有されていない認証情報によるものです。また、TeamViewer はテクニカルサポート詐欺にも使用されることがあります。

ポート5938 に加えて、ポート80 と 443 も TeamViewer で使用されることがあり、セキュリティチームがネットワーク上の悪意のある接続を検出することが難しくなる可能性があります。

Independent Computing Architecture(ICA)–ポート1494、2598

ICA は、RDP の代替として Citrix によって作成されたリモートデスクトッププロトコルですが、ICA を使用する Citrix ソリューションは通常、RDP もサポートしています。ポート1494 は、インバウンドの ICA 接続に使用されます。ICA は、ポート2598を使用する Citrix の Common Gateway Protocol でカプセル化することもできます。ICA クライアントの過去のバージョンには、RCEの脆弱性が存在するものがあります。より一般的な RCE の脆弱性である CVE-2023-3519 も ICA プロキシに影響を与え、攻撃者は影響を受けるシステム上で Web シェルを作成するために使用しました。

AnyDesk–ポート6568

AnyDesk は、技術サポート詐欺やモバイル・バンキングの顧客サービス詐欺に使用されている、もう一つのリモートデスクトップソリューションです。AnyDesk は2018年にいくつかのランサムウェアの亜種にバンドルされましたが、これはおそらくマルウェアの真の目的についてマルウェア検出システムを混乱させるためでしょう。ポート6568 に加えて、ポート80 または 443 を使用することもできます。

Splashtop Remote–ポート 6783

リモートデスクトップソリューションの中では攻撃トラフィックの試行回数が最も少ないものの、Splashtop Remote はサポート詐欺に使用されています。また、脆弱な認証情報、再利用された認証情報、フィッシングされた認証情報を使用して侵害される可能性もあります。

リスクの低減

ネットワーク全体の不審なポートトラフィックを検出できる、徹底的なセキュリティソリューションは必須です。これに加えて、リモートサービスへのアクセスを必要な人のみに制限、VPN などの安全な接続の使用、最新のパッチを適用したソフトウェアの定期的な更新など、強固なセキュリティポリシーとプログラムを導入する必要があります。認証方法には、強力なパスワードの使用、最低限多要素認証(MFA)、理想的にはゼロトラストアプローチへの移行が含まれます。

組織全体で特定のリモートデスクトップソリューションを標準化することで、IT チームは、関連するポートの管理、監視、およびセキュリティ保護にリソースを集中し、その他のトラフィックをブロックすることができます。

バラクーダブログを定期購読する

原文はこちら
Threat Spotlight: The remote desktop tools most targeted by attackers in the last year
May 1, 2024 Jonathan Tanner
https://blog.barracuda.com/2024/05/01/threat-spotlight-remote-desktop-tools-most-targeted

Related posts