リモート接続ねらうサイバー攻撃が急増 テレワーク増加で
新型コロナウイルスの影響で、多くの人がテレワークをするようになる中、自宅から会社のサーバーにつなぐリモート接続をねらって、パスワードなどを破ろうとするサイバー攻撃が、増え続けていることが情報セキュリティー会社の調査で分かりました。
情報セキュリティー会社の「カスペルスキー」は、自宅のパソコンから会社のサーバーなどにリモート接続していて、サイバー攻撃を受けるケースについて、その数や状況を調査しました。
その結果、リモート接続を行うログイン画面にIDやパスワードの入力を繰り返して不正アクセスを試みる「総当たり攻撃」と呼ばれるサイバー攻撃の対象となったサーバーの数は、新型ウイルスの感染が拡大する前のことし1月には223か所でしたが、3月には242か所、4月には323か所と次第に増え、9月は352か所、そして、先月には362か所と、1月のおよそ1.6倍になっていることがわかりました。
総当たり攻撃は、パスワードを破るためにロボットが機械的に入力を繰り返すもので、一つのサーバー当たりの攻撃の回数は膨大な数に上っているとみられます。
攻撃は、ほとんどが海外からのものだったということです。
コロナ禍で自宅などでテレワークをする人が増える中、攻撃者は会社のサーバーなどにつなぐリモート接続のセキュリティーのぜい弱性を集中的にねらっているとみられ、解析を行ったカスペルスキー石丸傑研究員は「テレワークが続く中、セキュリティーがぜい弱なシステムを使っていたり、設定を誤ったまま使っていたりするケースも多い。リモートアクセスできる人を制限したり、パスワードを強固なものにするなど、安全対策を再確認してほしい」と注意を呼びかけています。
リモートデスクトップのログイン画面 公開状態に
今回、攻撃の増加が確認されたのは「リモートデスクトップ」と呼ばれる、リモート接続のシステムです。
これは、自宅のパソコンから会社のサーバーなどに接続して操作できるようにするもので、ログイン画面にIDとパスワードを打ち込んで利用します。
もともと、企業のサーバーの保守点検などに使われる機能でしたが、コロナ禍に入ってテレワークでも多く使われるようになっています。
ただ、この機能を使う際にアクセスできる人を制限しないで使い始めると、ログイン画面が公開状態となり、誰でもパスワードを打ち込めるようになります。
情報セキュリティー会社のRapid7が「リモートデスクトップ」で公開状態になっているサーバーの数を調査したところ、コロナ禍に入ってから増え続けていて、先月は平均して10万1900台余りが公開状態にあり、緊急事態宣言が出される前のことし3月の平均を1割ほど上回っていました。
これは、自宅のパソコンから会社のサーバーなどに接続して操作できるようにするもので、ログイン画面にIDとパスワードを打ち込んで利用します。
もともと、企業のサーバーの保守点検などに使われる機能でしたが、コロナ禍に入ってテレワークでも多く使われるようになっています。
ただ、この機能を使う際にアクセスできる人を制限しないで使い始めると、ログイン画面が公開状態となり、誰でもパスワードを打ち込めるようになります。
情報セキュリティー会社のRapid7が「リモートデスクトップ」で公開状態になっているサーバーの数を調査したところ、コロナ禍に入ってから増え続けていて、先月は平均して10万1900台余りが公開状態にあり、緊急事態宣言が出される前のことし3月の平均を1割ほど上回っていました。
ログイン画面公開状態で即攻撃 実験で
会社の重要なサーバーにつながったリモートデスクトップのログイン画面が公開状態になっていると、どれだけパスワードの総当たりなどのサイバー攻撃を受けやすいか、情報セキュリティー会社が実験を行いました。
実験では、あらかじめ、データを空にしたパソコンで、「リモートデスクトップ」の機能を設定し、外部からのアクセス制限を行わずに公開状態にしました。
パソコンに対するアクセスを観測し、記録したところ、インターネットに接続したわずか1分20秒後に不審な通信が届き、通信は10分間で10回を超えました。
これは、「ポートスキャン」と呼ばれる調査用の通信で、端末がどのような機能を持ち、どのようなアクセスが可能かを調べているということで、通信元の国を調べると、インドやベトナム、アメリカなど27か国にのぼりました。
さらに2日間放置したところ、1万3850回にわたって、ログイン画面にパスワードを入力してこじあけようとする攻撃がありました。
こちらの通信元の国は、フィリピンや韓国、アフリカのエスワティニ、ラトビアなど、30か国ほどにのぼりました。
また、実験では、IDとパスワードを単純なものと複雑なものに設定して比較しました。
すると、IDとパスワードをともに「user」や「admin」というアルファベットの単純な文字列に設定したアカウントは、侵入を受けました。
いっぽうで、パスワードをアルファベットに数字や記号を組み合わせて設定したアカウントは、攻撃者が手当たりしだいに入力してこじあけようとした形跡がありましたが、侵入されませんでした。
実験を行った情報セキュリティー会社網屋の石田隆二さんは、「短時間で攻撃を受けて驚いた。攻撃者は侵入しやすいところを探して企業の中に入り、情報資産を奪って犯罪に使ったり、脅迫したりする。リモートデスクトップの設定ミスによる公開状態は、非常にリスクが高い状況だと言える」と話していました。
実験では、あらかじめ、データを空にしたパソコンで、「リモートデスクトップ」の機能を設定し、外部からのアクセス制限を行わずに公開状態にしました。
パソコンに対するアクセスを観測し、記録したところ、インターネットに接続したわずか1分20秒後に不審な通信が届き、通信は10分間で10回を超えました。
これは、「ポートスキャン」と呼ばれる調査用の通信で、端末がどのような機能を持ち、どのようなアクセスが可能かを調べているということで、通信元の国を調べると、インドやベトナム、アメリカなど27か国にのぼりました。
さらに2日間放置したところ、1万3850回にわたって、ログイン画面にパスワードを入力してこじあけようとする攻撃がありました。
こちらの通信元の国は、フィリピンや韓国、アフリカのエスワティニ、ラトビアなど、30か国ほどにのぼりました。
また、実験では、IDとパスワードを単純なものと複雑なものに設定して比較しました。
すると、IDとパスワードをともに「user」や「admin」というアルファベットの単純な文字列に設定したアカウントは、侵入を受けました。
いっぽうで、パスワードをアルファベットに数字や記号を組み合わせて設定したアカウントは、攻撃者が手当たりしだいに入力してこじあけようとした形跡がありましたが、侵入されませんでした。
実験を行った情報セキュリティー会社網屋の石田隆二さんは、「短時間で攻撃を受けて驚いた。攻撃者は侵入しやすいところを探して企業の中に入り、情報資産を奪って犯罪に使ったり、脅迫したりする。リモートデスクトップの設定ミスによる公開状態は、非常にリスクが高い状況だと言える」と話していました。
「ランサムウェア」仕掛けられるケース相次ぐ
このリモートデスクトップの穴をついて、ランサムウェア=身代金要求型ウイルスが仕掛けられたと見られるケースも相次いでいます。
ある高校では、ことし4月の休校中に、職員が出勤してパソコンを立ち上げたところ、英語の脅迫文が送りつけられていました。
「あなたのファイルはすべて暗号化されている」「解除してほしければ、我々に連絡するように」そして、生徒の進路など重要な個人情報も含まれた、職員が使う共有サーバーのデータがすべて暗号化され、開けなくなっていました。
サーバーは、データをいわば人質にとって身代金を要求するランサムウェアに感染していたのです。
このサーバーは保守管理のために、外部の業者が遠隔でアクセスできるよう「リモートデスクトップ」の機能が使われていましたが、設定の不備で第三者もアクセスできる状態になっていたために侵入されたのではないかと見られています。
学校側は身代金は支払わず、データは戻ってきていないということで、教育委員会の担当者は「生徒の大事な情報が無くなったのはショックだった」と話していました。
NHKが脅迫文の文面を提供してもらい、情報セキュリティー会社マクニカネットワークスの勅使河原猛さんに分析を依頼したところ、脅迫文のタイトルや連絡先のメールアドレスの書き方などの特徴から、使われたのは「マトリックス・ランサムウェア」と呼ばれるウイルスとみられることがわかりました。
また、このウイルスは攻撃先のサーバーがロシア語圏のものだと、攻撃を止める特徴があることもわかり、攻撃者のグループは、ロシア語圏を拠点とする可能性もあるとみられると言うことです。
このグループは、これまでも「リモートデスクトップ」の設定の不備をねらって攻撃を行ってきたグループだということで、勅使河原さんは「もともとリモートデスクトップをねらっている攻撃者が、コロナ禍に入ってリモートデスクトップの利用が増え、設定の不備も増えたことで、攻撃を強め、多くの被害を生んでいる可能性がある」と指摘しています。
ある高校では、ことし4月の休校中に、職員が出勤してパソコンを立ち上げたところ、英語の脅迫文が送りつけられていました。
「あなたのファイルはすべて暗号化されている」「解除してほしければ、我々に連絡するように」そして、生徒の進路など重要な個人情報も含まれた、職員が使う共有サーバーのデータがすべて暗号化され、開けなくなっていました。
サーバーは、データをいわば人質にとって身代金を要求するランサムウェアに感染していたのです。
このサーバーは保守管理のために、外部の業者が遠隔でアクセスできるよう「リモートデスクトップ」の機能が使われていましたが、設定の不備で第三者もアクセスできる状態になっていたために侵入されたのではないかと見られています。
学校側は身代金は支払わず、データは戻ってきていないということで、教育委員会の担当者は「生徒の大事な情報が無くなったのはショックだった」と話していました。
NHKが脅迫文の文面を提供してもらい、情報セキュリティー会社マクニカネットワークスの勅使河原猛さんに分析を依頼したところ、脅迫文のタイトルや連絡先のメールアドレスの書き方などの特徴から、使われたのは「マトリックス・ランサムウェア」と呼ばれるウイルスとみられることがわかりました。
また、このウイルスは攻撃先のサーバーがロシア語圏のものだと、攻撃を止める特徴があることもわかり、攻撃者のグループは、ロシア語圏を拠点とする可能性もあるとみられると言うことです。
このグループは、これまでも「リモートデスクトップ」の設定の不備をねらって攻撃を行ってきたグループだということで、勅使河原さんは「もともとリモートデスクトップをねらっている攻撃者が、コロナ禍に入ってリモートデスクトップの利用が増え、設定の不備も増えたことで、攻撃を強め、多くの被害を生んでいる可能性がある」と指摘しています。