Back to Blog ブログ一覧へ戻る

RDP 攻撃とその標的になる企業

By
Vectra
|
September 25, 2019

リモートデスクトッププロトコル (RDP: Remote Desktop  Protocol) は、インターネット経由でコンピューターに接続し制御するための手法です。RDP は  1996年にWindows オペレーティングシステムの標準搭載機能となり、専門業界では人気のあるツールになりました。

職場で RDP を使用することで、計り知れないメリットを得ることができます。銀行員は、クライアントと食事に出かけている間でも金融データベースにアクセスでき、工場の技術者は、世界中どこからでも設備の様子を監視でき、さらに看護師は、iPadから患者の記録を確認することができます。

しかし他のツールと同様に、RDP もまた悪用される可能性があります。リモートでコンピューターにログインできるこのテクノロジーが抱える問題は、サイバー攻撃者がこれを悪用し、誰のデバイスにでもアクセスができる点です。

Vectra AI社の「2019 Black Hat Edition of the Attacker Behavior Industry  Report」における分析データから、RDP の悪用が現実の世界で非常に一般化していることが分かります。Cognito プラットフォームを導入している企業の 90% が、2019年1月から 6月にかけてRDP に関する何らかの疑わしい動作があったことを指摘しています。

1万台のホストデバイスあたりで見ると、RDPが悪用された経験が最も多いのは製造企業で、次に金融/保険、小売業と続きます。これら 3つの業界だけで、疑わしい  RDP の動作を指摘する全件数の約半分(49.8%)が検出されたことになります。

疑わしい RDP の動作検出に関する業界別の分散状況

全体的には、あらゆる業界でかなりの数の RDP 悪用が検知されています。月毎に業界別の RDP 悪用の検知数を見ても、ほとんど変化はありません。具体的には、業界別の RDP 悪用の検出の平均変動係数は、わずか  18.5% となっています。つまり RDP は、一貫した形で攻撃対象として悪用されているということです。

サイバー攻撃者は、完全な攻撃を仕掛ける場合の踏み台としてRDP を頻繁に利用します。例えば FBIでは、攻撃者が  CryptON や CrySiS、SamSam ランサムウェア攻撃を仕掛ける場合に、RDP を踏み台にしていると報告しています。RDP はまた、攻撃者が犠牲者のネットワークを横方向に移動(ラテラルムーブメント)する際に、偵察のために悪用されるケースもあります。

NCSC UK や FBI、DHS といった主要政府機関は、職員に対して  RDP へのアクセスを減らすよう推奨しています。しかし RDP には大きなメリットがあるため、近い将来、すぐにその使用が減ることはないと考えられます。

このような観点で、RDP が製造業にどんなメリットを提供しているかを見ていくことにしましょう。

製造業は RDP によってデータの集中化を推進しています。企業は、産業用制御システム (ICS: Industrial  Control System) を個別にインストールする代わりに、ICS アプリケーションをインストールした1つの集中化された RDP サーバーだけを使用することができます。技術者のラップトップに不正アクセスするサイバー攻撃者は、適切な RDP 認証情報なしには  ICSへアクセスできないため、この対応はセキュリティ体制の強化にもつながります。

さらに製造業者は、RDP によってコストを削減することもできます。産業用制御システムの運用にあたっては、密接な監視と頻繁な変更が不可欠となります。かつて、製造業の技術者は、様々な製造現場を移動して全てを監視するという、コストと時間のかかる対応を余儀なくされていました。

RDPは、この状況を一変しました。Machine Design 社の研究結果によって「機械の不具合の 60% から 70% は、ソフトウェアのアップグレードか若干のパラメータ変更だけで解決するものであり、リモートから対応が可能な場合が多い」ということが分かっています。

技術者は、複数の製造現場にあるシステムを一度に監視できるようになりました。コスト削減においても非常に大きな効果があります。産業用コミュニケーションおよび IoT ソリューションを提供する  HMS Networks 社は、機械の修理のために技術者が出張するコストが、1回あたり  2,200ドルにもなると推定しています。

RDPは、そのデータ管理とコスト節約の優位性によって、近い将来、攻撃の危険に晒される可能性があります。このため、RDP の使用状況をリアルタイムに監視し、悪用される事態が発生したら直ちに検知することが重要となるのです。

RDP の悪用に関する詳細については、  「2019 Vectra Spotlight Report on RDP」 をご覧ください。