RDP攻撃とは何ですか。
COVID-19の危機が不意を突かれたと言うことは、10年の控えめな表現でしょう。発生がこれほど大きいとは誰も予想していませんでした。問題がどれほど深刻であるかを実感したとき、恐怖の波が国や大陸全体に響き渡りました。真のパニックが始まり、おそらく驚くことではないが、サイバー犯罪者はこれを利用しようとしました(多くの場合、 管理しました)。
一方、多くの国で課された社会的距離の規制により、数千の企業が従業員を自宅から仕事に派遣することを意味していました。サイバー犯罪者が同様にそれを悪用しようと試みたことを知るのに、あなたはおそらくそれほど驚かないでしょう。
Table of Contents
世界が家で動けなくなっている間にサイバー犯罪者はRDPを攻撃します
先週、 カスペルスキーの研究者たちは、COVID-19のパンデミックによってもたらされたさらに別の変化を示す一連のチャートを発表しました。
それは、RDP攻撃と、ロックダウンの開始以降、RDP攻撃がどれだけ広まったかについてです。数は国によって異なりますが、傾向は日光と同じくらい明確です。RDPプロトコルに対する攻撃は、コロナウイルスのパンデミックが始まって以来ずっと人気が高まっています。
この新しい発見は、RDPが何であるかを知っている皆さんにとって、それほどショックではありません。わからない人は今すぐ見つけることができます。
RDPとは何ですか?なぜサイバー犯罪者はRDPをそんなに愛しているのですか?
RDPはRemote Desktop Protocolの略です。これは、ユーザーがリモートのWindowsコンピューターまたはサーバーに接続してオペレーティングシステムのグラフィカルインターフェイスを使用できるようにするアプリケーション通信プロトコルです。これはMicrosoftによって開発され、デフォルトでポート3389を使用します。ご想像のとおり、リモートエンドポイントへのRDP接続は、有効なログイン資格情報のセットを入力した後に行われます。
RDPはしばらく前から存在しており、RDPに対する攻撃はほとんど同じです。長年にわたり、セキュリティ研究者は多くの脆弱性を特定しており、弱点を悪用するハッキングツールがたくさんあります。ただし、RDPを危険にさらす最も一般的な方法は、控えめな総当たり攻撃です。
ユーザーの悲惨なパスワード管理の習慣は、RDPのセキュリティにも反映されます。単純で予測可能なログイン資格情報のリストを備えたハッカーは、RDPが実行されている多数のコンピューターやサーバーを簡単に侵害できます。攻撃は単純かもしれませんが、サイバー犯罪者が侵害されたエンドポイントへの妨害されていないアクセスを提供するため、それによって引き起こされる可能性のある被害は計り知れません。このため、侵害されたRDP資格情報の取引に特化した暗いWebマーケットプレイスがあります。
RDPが有効なエンドポイントに対する攻撃は、いくつかの明らかな理由により、COVID-19の大流行の際により一般的になっています。従業員は自宅から仕事に派遣されましたが、依然としてネットワークを介して企業リソースにアクセスする必要があり、多くの組織がリモートデスクトッププロトコルを介してそれを確立することを決定しました。カスペルスキーのグラフからわかるように、サイバー犯罪者は、RDP構成が一部のケースで特に安全ではないことを望んでいますが、残念ながら、それらは正しいかもしれません。
すでに述べたように、歴史的に、システム管理者はRDP構成に関して左、右、中央で間違いを犯しており、今回は多くのユーザーのために作業環境を急いで確立することを余儀なくされ、さらに可能性が高まりました間違いの。
RDP攻撃から身を守る方法は?
ほとんどの場合、RDPへの攻撃は単純な総当たり攻撃であり、おそらくご存じのように、総当たり攻撃から身を守る最も簡単な方法は、他の場所で再利用されない強力なパスワードを使用することです。ただし、RDPはより大きな攻撃面を表します。そのため、システム管理者は、1つまたは2つの他のことも考慮するよりも悪い結果をもたらすことができます。
プロトコルを使用しているすべてのユーザーがソフトウェアを更新していることを確認します。企業VPNを使用している場合は、それを通じてのみRDPを有効にします。可能な場合は2要素認証を使用し、プロトコルのデフォルト構成を使用しないようにしてください。これは必ずしもハッカーを止めるわけではありませんが、ハッカーを遅くする可能性があり、多くの場合、これで十分です。最後に重要なことですが、RDPが必要ない場合は、RDPを無効にしてポート3389を閉じてください。