リモートデスクトップサービス(RDS)に関する通信の検知状況

記事をシェアする:

リモートデスクトップサービス(RDS)は、ネットワーク経由でリモートからデスクトップ画面をコントロールすることが可能なサービスです。RDSを使用することで端末上のほとんどの操作が可能になることから、攻撃者に狙われやすく、攻撃対象ホストを探索するためのスキャン通信やブルートフォース攻撃が継続的に観測されています。

図1に、2019年5月1日～8月31日にTokyo SOCで確認されたTCP3389番ポートに対するスキャン通信の検知数推移を示します。
TCP3389番ポートは、RDSのデフォルトポートとして知られています。調査期間を通して継続的に通信を検知しており、5月と8月に検知数が増加しています。これは、Microsoft社から2019年5月14日にBlueKeep(CVE-2019-0708)[1]と呼ばれる脆弱性、8月13日に新たな脆弱性(CVE-2019-1181/CVE-2019-1182)[2]の情報が公開されており、時期が一致しているため、脆弱性の公表によりインターネット上でアクセス可能なRDSの稼働状況を調査する行為が増加したものと推測されます。

図1 TCP3389番ポートに対するスキャン通信の検知数推移
(Tokyo SOC調べ　2019年5月1日～2019年8月31日)

図2に、リモートデスクトッププロトコル(RDP)経由のブルートフォース攻撃の検知数推移を示します。攻撃者はRDSが稼働するホストを洗い出した後、RDP経由でブルートフォース攻撃を行い、Windowsログオンに必要なユーザー名とパスワードの取得を試みます。この攻撃はNcrack, Hydra, crowbar等のオープンソースのツールを用いて比較的容易に実行が可能です。また入手したユーザー名やパスワードをインターネット上で販売し金銭に換える行為も確認されています。このため平時から確認される攻撃であり、Tokyo SOCでも調査期間を通して継続的に通信の検知が見られます。
そのなかでも6月以降の検知はGoldBrute[3]の影響が考えられ、多い日で30億件の検知数が確認されました。GoldBruteはRDSが稼働しているホストに総当たりをするボットネットを構成するマルウェアとして6月7日に情報が公開されました。このマルウェアは事前に定義されたユーザー名とパスワードの組み合わせを利用し感染を広げており、発見時点で既に150万件のアカウント情報を保持していたとの報告があります。入手できた情報はさまざまさまざまな利用方法があるため、今後もRDSが稼働するホストへのユーザー名やパスワードの入手を試みる通信の検知は続くものと考えられます。

図2 RDPブルートフォース攻撃の検知数推移
(Tokyo SOC調べ　2019年5月1日～2019年8月31日)

次に、調査期間中に検知した通信の送信元IPアドレス国別割合を図3に、送信元Top10の詳細を表1に示します。オランダ、韓国、アメリカ、ロシアからの通信で全体の9割弱を占めていることが分かります。オランダからの通信は調査期間を通して継続的に検知しており、その送信元の多くはクラウドサービスやホスティングサービスでした。
RDPブルートフォース攻撃の検知数が多い日に注目すると、5月11日～12日はアメリカ(193.188.22.115)、6月15日はロシア(91.210.104.2)、8月16日は韓国(211.247.115.130)からの通信が多い状況でした。また、他の月と比較して6月は多くの送信元からの通信が観測されていたことから、GoldBruteのようにボットネットを利用し攻撃を行っていたと推測されます。

図3 送信元IPアドレスの所属国別割合
(Tokyo SOC調べ　2019年5月1日～2019年8月31日)

表1 送信元IPアドレスTop10とそれぞれの検知件数、所属国、所属組織
(Tokyo SOC調べ　2019年5月1日～2019年8月31日)

このように、RDSに対するスキャン通信やブルートフォース攻撃は継続的に観測されています。また、攻撃準備段階で取得した脆弱なホスト情報やアカウント情報を利用し、標的型攻撃が行われたり、ランサムウェアに感染させられる事例も報告されています。今後発生し得る攻撃に備えて、RDSへのアクセスを信頼できる送信元のみに制限する、不要な場合はRDSを無効化するなどの対策を推奨いたします。また、RDSが稼働するシステムでは、日頃より最新の修正済みバージョンに更新されているかを今一度ご確認ください。

【参考情報】
[1] Microsoft : CVE-2019-0708 | リモート デスクトップ サービスのリモートでコードが実行される脆弱性
https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/CVE-2019-0708

[2] Microsoft : CVE-2019-1181 | リモート デスクトップ サービスのリモートでコードが実行される脆弱性
https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/CVE-2019-1181

[3] SANS Internet Storm Center : GoldBrute Botnet Brute Forcing 1.5 Million RDP Servers
https://isc.sans.edu/forums/diary/25002/

【著者情報】

Tokyo SOC Report

本レポートは、IBMが全世界で提供しているセキュリティー運用監視サービス「Managed Security Services」(MSS)の中で、世界10カ所（東京、ブリスベン、北米4拠点、ブリュッセル、ヴロツワフ、オルトランディア、バンガロール）の監視センター（セキュリティー・オペレーション・センター：SOC）にて観測したセキュリティー・イベント情報に基づき、主として日本国内の企業環境に影響を与える脅威の動向を、Tokyo SOCが独自に分析し、まとめたものです。