リモートデスクトップは安全か


リモートデスクトップ

「リモートデスクトップとは手元のコンピュータからネットワークで接続された他のコンピューターのGUIやデスクトップ環境を操作する技術の総称です。PC遠隔操作ソフトやリモートコントロールソフトという呼び名も存在する。」

とウィキペディアには書かれています。

ウィキペディア「リモートデスクトップ」
https://ja.wikipedia.org/wiki/%E3%83%AA%E3%83%A2%E3%83%BC%E3%83%88%E3%83%87%E3%82%B9%E3%82%AF%E3%83%88%E3%83%83%E3%83%97

システム会社による保守サービスを受ける時、テレワークで自宅から仕事先のパソコンを操作する時、この仕組みにお世話になることが身近に沢山あるかと思います。

色々なメーカーによって色々なソフト/サービスが出ていますが、「リモートデスクトップ」という名前は狭義ではマイクロソフト社の提供するWindowsPC間の遠隔操作サービス Remote Desktop Protocol(RDP)を差すことが多いように思います。それ以外のPC遠隔操作ソフトとしてはTeamViewerが一番有名かもしれません。「一般的なVPNの危険性について」でも触れましたが、警視庁の調査でランサムウェアの感染経路で2番目に多かったのがこのリモートデスクトップでした。

警察庁2022年4月7日発表「令和3年におけるサイバー空間をめぐる脅威の情勢等
について」
https://www.npa.go.jp/publications/statistics/cybersecurity/data/R03_cyber_jousei.pdf

ランサムウェアの感染経路?

警視庁の調査には具体的にどのリモートデスクトップサービスかの記載はありませんが、リモートデスクトップの「ぜい弱性や強度の弱い認証情報等を利用して侵入したと考えられるものが大半を占めている。」と述べられています。

ソフトウェアのアップデートなどで適切に脆弱性を減らし、強固な認証情報を利用しないとリモートデスクトップは危険性が高いと言っています。このことは「一般的なVPNの危険性について」で触れたことと本質的に同じです。

アップデートを怠り、ユーザID/接続ID/パスワードなど弱い認証情報のみに頼り、インターネット上のどこからでもアクセスが可能な状態になっていれば、認証情報の漏洩や推測で簡単に社内(院内)のパソコンが乗っ取られてしまうことを示唆しています。

この危険性を増長させているのが、不正アクセスのための情報が売り買いされているという事実です。

ダークウェブで認証情報が売買されている

ダークウエブにはRDPショップと呼ばれるWebフォーラムまであります。不正入手されたリモートデスクトップの認証情報が売り買いされているのです。
少し前の記事ですがセキュリティ会社マカフィーのブログに次の投稿がありました。

「マカフィーの調査チームはRDPショップの1つで、主要な国際空港の保安システムにアクセスする方法(RDP認証情報)がわずか10ドルで購入可能だったことを発見しました。」

マカフィー ブログ 2018年7月11日投稿(英文サイト)
https://www.mcafee.com/blogs/consumer/consumer-threat-reports/airport-security-system-dark-web-rdp-shop/

また、比較的最近の情報(2022年6月)としては同じくセキュリティ会社のカスペルスキーからあるダークウェブフォーラムを分析した結果が発表されていました。このフォーラムでは企業インフラに不正アクセスする方法が売買されていました。その中の投稿(出品)を分析したところ、実に75.21%がRDP認証情報(VPN接続情報とのセット販売含む)だったようです。ちなみに、他はVNC 8.55%、Webシェル 1.71%、SQLインジェクション 1.71%などとなっています。不正アクセスの手段としてRDPの人気が高いことを示しています。

カスペルスキー 2022年6月15日投稿(英文サイト)
How much does access to corporate infrastructure cost?
https://securelist.com/initial-access-data-price-on-the-dark-web/106740/

VNCは「Virtual Network Computing」の略で元々は1999年に開発された遠隔操作ソフトのことだったのですが、オリジナルの開発は中止され、現在はその派生ソフトやサービスが広く使われています。TeamViewerもこの仲間と言えます。

Webシェル、SQLインジェクションはWEBサイトに関わる技術用語ですが、上記の記事では脆弱性(ホームページの弱点)を指しています。このサイトにはこのような脆弱性があるので、そこを上手く突けば侵入できる可能性がありますよという情報提供のことを言っています。

病院や企業の認証情報が売買されている

この記事の本題は不正アクセスする方法がいったい幾らで売買されているかというものでした。

実際の例として、年商300万ドル(約4億円)の企業に対するRDP+VPN情報が300ドル(約4万円)で売りに出ているスクリーンショットが載っていました。
その他にもいくつか投稿の例が掲載されていましたが、商品(不正アクセス手段)の説明と希望販売価格が列記されており、まるでメルカリやヤフオクの出品を見ているような感覚になります。
ターゲット企業の従業員数、収益、事業領域、地域などの説明があったり、設定価格が高い理由として侵入手段を手に入れるのに如何に時間と労力を費やしたかに言及しているものもあるようです。

価格は企業の収益と相関関係があるようです。企業価値の高い組織、つまり身代金などが高額に請求できる可能性が高い組織への侵入手段ほど高値になるということです。

脆弱性対策+認証方法を複雑化 が重要

その一方で、同じ企業規模であれば、脆弱性情報よりRDP認証情報の方が高値で売られているようです。それは、脆弱性情報だけでは、それを利用して更に侵入のための手を掛ける必要があり、本当にターゲットに侵入できるかの保証がありません。しかし、RDP認証情報は既に侵入には成功していることを示しており、ターゲット内の情報収集やファイルの暗合化などの次のステップにすぐ進めるメリットがあります。そのため、不正アクセス手段の中でRDP認証情報は人気が高いのです。

本当のユーザ(企業や病院のスタッフ)が便利なものは、不正侵入者にとっても便利だということです。
利便性に気を取られてセキュリティ対策をおろそかにすると、不正侵入者にも簡単に情報を抜き取られたり、ファイル暗合化など不正操作をされてしまうことを強く気に留めておく必要があります。

リモートデスクトップを安全に使用するためには、脆弱性対策も取りながら、単純なユーザ認証に頼らないことです。
リモートデスクトップでも接続元を特定するためにIPアドレスを限定したり、多要素認証を利用することが望ましいです。リモートデスクトップの機能だけで対策が難しい場合は、対策の取れるVPNサービスと組み合わせての利用も有効です。
院外のPCと院内ネットワークを安全なVPNで接続して、その通信の中でリモートデスクトップを使う方法です。世界中どこからでも誰でもアクセスできる状態を作らないことが重要です。


文責 株式会社インキューブ 石田耕治 (登録情報セキュリティスペシャリスト)