SPECIAL
追跡!ネットアンダーグラウンド

デスクトップに意図せぬ穴

2020.11.30 :

テレワーク時代のセキュリティーの「意図せぬ穴」。

専門家たちが口をそろえてリスクを指摘するのが、「リモートデスクトップ」と呼ばれる、パソコンのリモート接続の設定だ。
コロナ禍に入って、このログイン画面を狙ったとみられる攻撃が日本で増えていることもわかってきた。

リモートデスクトップの設定に注意を

「リモートデスクトップ」は、ウインドウズのサーバーの機能で、自宅のパソコンから会社のサーバーなどに接続して操作できるようにするもの。

ログイン画面にIDとパスワードを打ち込んで、利用する。

企業のサーバーの保守点検などに使われる機能だったが、コロナ禍に入って、テレワークのためにも多く使われるようになっている。

ただ、この機能を使い始める際にアクセスできる人を制限しないで使い始めると、ログイン画面が公開状態となり、誰でもパスワードを打ち込めるようになる。

総当たり攻撃が急増

コロナ禍に入って、このログイン画面を狙ったとみられる攻撃が日本で増えている。

情報セキュリティー会社の「カスペルスキー」が調査したところ、「リモートデスクトップ」のログイン画面にIDやパスワードの入力を繰り返して不正アクセスを試みる「総当たり攻撃」と呼ばれるサイバー攻撃の対象となったサーバーの数が、コロナ禍に入ってから急増していることが分かった。

新型ウイルスの感染が拡大する前の▽ことし1月には223か所だったが、▽3月には242か所、▽4月には323か所と次第に増え、▽9月は352か所、そして、▽先月、10月には362か所と、1月のおよそ1点6倍になっていたのだ。

総当たり攻撃は、パスワードを破るためにロボットが機械的に入力を繰り返すもので、一つのサーバー当たりの攻撃の回数は膨大な数に上っているとみられる。
攻撃はほとんどが海外からのものだったという。

身代金ウイルスも?

このリモートデスクトップの穴をついて、ランサムウェア、身代金要求型ウイルスが仕掛けられたと見られるケースもある。

ある高校では、ことし4月の休校中に、職員が出勤してパソコンを立ち上げたところ、英語の脅迫文が送りつけられていた。
脅迫文には、「すべてのファイルは暗号化されている」と書かれ、調べると、高校のサーバーにあった生徒の重要な個人情報がどれも開けなくなっていた。

脅迫文には、データを元に戻してほしければここに連絡しろという内容もあった。

カネを要求する目的とみられ、データは今も回復できていない。

教育委員会の担当者は、「犯人に連絡して迷惑しているなということが分かったら、もっとつけ込まれるんではないかというところもあったので、犯人とは連絡を取らなかった」と話す。
このサーバーは保守管理のために、外部の業者が遠隔でアクセスできるよう、「リモートデスクトップ」の機能が使われていたが、設定の不備で第三者もアクセスできる状態になっていたという。

ロシア語圏のものか

私たちは、この脅迫文の文面を提供してもらい、情報セキュリティ-会社・マクニカネットワークスの勅使河原猛さんに分析してもらった。

脅迫文のタイトルや連絡先のメールアドレスの書き方などの特徴から、高校を脅迫したのは、「マトリックス・ランサムウェア」と呼ばれる攻撃を仕掛けるグループだと推測された。
「マトリックス・ランサムウェア」を詳しく分析すると、攻撃先のサーバーがロシア語圏のものと分かると、攻撃を止める特徴があることがわかった。

逆に言うと、攻撃者のグループは、ロシア語圏を拠点とする可能性があるという。

これまでも特に「リモートデスクトップ」の設定の不備を狙って攻撃を仕掛けてきたグループだという。
勅使河原猛さん
勅使河原さんは指摘する。
「もともとリモートデスクトップを狙っている攻撃者が、コロナ禍に入ってリモートデスクトップの利用が増え、設定の不備も増えたことで、攻撃を強め、多くの被害を生んでいる可能性がある」
サイバー攻撃の格好の餌食となる可能性があるログイン画面の設定不備による公開状態。
そうしたケースは、どれくらいあるのか。
アメリカのセキュリティー会社、Rapid7の観測では、日本国内でログイン画面を公開しているサーバーは10月時点で11万ほどあった。
これは、緊急事態宣言が出される前のことし3月の平均を1割ほど上回っているという。

攻撃は即座に

リモートデスクトップのログイン画面が公開状態になっていると、どれだけパスワードの総当たりなどのサイバー攻撃を受けやすいか。

情報セキュリティー会社が実験を行った。

実験では、あらかじめ、データを空にしたパソコンで、「リモートデスクトップ」の機能を設定し、外部からのアクセス制限を行わずに、公開状態にした。

パソコンに対するアクセスを観測し、記録したところ、インターネットに接続したわずか1分20秒後に、不審な通信が届き、通信は10分間で10回を超えたという。

これは、「ポートスキャン」と呼ばれる調査用の通信で、端末がどのような機能を持ち、どのようなアクセスが可能かを調べているという。

通信元の国を調べると、インドやベトナム、アメリカなど27カ国にのぼった。
さらに2日間、放置したところ、1万3850回にわたって、ログイン画面に、パスワードを入力してこじあけようとする攻撃があった。

こちらの通信元の国は、フィリピンや韓国、アフリカのエスワティニ、ラトビアなど、30カ国ほどにのぼった。

また、実験では、IDとパスワードを、単純なものと複雑なものに設定して比較した。

すると、IDとパスワードをともに「user」や「admin」というアルファベットの単純な文字列に設定したアカウントは、侵入を受けた。

いっぽうで、パスワードをアルファベットに数字や記号を組み合わせて設定したアカウントは、攻撃者が手当たり次第に入力してこじあけようとした形跡があったが、侵入されなかった。
石田隆二さん
実験を行った情報セキュリティー会社「網屋」の、石田隆二さんは話す。
「短時間で攻撃を受けて驚いた。攻撃者は侵入しやすいところを探して企業の中に入り、情報資産を奪って犯罪に使ったり、脅迫したりする。リモートデスクトップの設定ミスによる公開状態は、非常にリスクが高い状況だと言える」

必要なアクセス制限の設定を

テレワーク時代のサイバーセキュリティーの「意図せぬ穴」となっている「リモートデスクトップ」。データを人質に取って暗躍するグループの格好の標的になっている実態も見えてきた。

情報セキュリティー会社カスペルスキーの石丸傑研究員は警鐘を鳴らす。

石丸傑さん
「強固なパスワードを設定するとともに、意図しない人によるアクセス、安全でない経路からの通信を制御することが重要だ。テレワークする環境のセキュリティーを改めて見直し、安全な環境でテレワークをしてほしい」
ご意見・情報をお寄せください

科学文化部記者

黒瀬総一郎

平成19年入局。岡山局、福岡局を経て平成26年から科学文化部。海洋や天文のほか、現在は、サイバーセキュリティーやAI倫理、ネット社会の問題を中心に取材。また、全国の水辺を巡って、ウナギやサンゴなど、生態系の保全や資源管理に関する取材を続けている。川で取ってきたニホンウナギを、長年、自宅で飼育し、体長は80センチに(すでに死亡)。

黒瀬総一郎記者の記事一覧へ

記事の内容は作成当時のものです

SPECIAL一覧に戻る