Yahoo!ニュース

ランサムウェア感染の新たなトレンドになるか?外部公開されているサポート切れWindows7が増加中

大元隆志CISOアドバイザー
Shodanを基に筆者作成

 前回の記事でランサムウェアの感染経路として長年増加傾向にあったVPNにようやく歯止めがかかった兆しが見え、一方でリモートデスクトップ(以下RDP)による侵入が増加傾向にあると書いた。今回はShodanを利用し日本国内における外部公開されているRDPの傾向について解説する。

■RDPは古くから存在していた感染経路

 日本ではランサムウェアの感染経路はVPNからというのが定番となってしまっているが、日本が特殊なだけで世界的にはRDP経由からの感染が主流であった。

 脅威動向分析で引用されることの多いVerizon business発行のDBIR(Data Breach Investigations Report)にランサムウェアの感染経路についての記載が登場したのは2013年にまで遡る。この時、感染経路して取り上げられたのがRDPだった。

「企業、特に中小企業を標的とする場合、犯罪者はパッチ未適用の脆弱性または脆弱なパスワードを介して、Microsoft のリモート デスクトップ プロトコル (RDP) 経由で被害者のネットワークにアクセスします。最初のアクセスを獲得すると、その後、企業のバックアップを変更して、毎晩実行し続けても実際にはデータをバックアップしないようにします。

引用:Verizon business DBIR 2013

その後、2022年にランサムウェアの感染経路分析が公開されたが、RDPが40%でトップだった。

出典:Verizon business DBIR 2022
出典:Verizon business DBIR 2022

このように世界では古くからRDPはランサムウェアの主要な感染経路であった。

■日本国内における感染経路の推移

 日本についてはどうだろうか?日本については警察庁の統計開始以来VPNによる感染がトップではあるがRDPも上位をキープしている。令和5年下半期と令和6年上半期という間近一年の傾向を見るとRDPによる感染がそれまでと比較して増加傾向にあることが読み取れる。

警察庁「サイバー空間をめぐる脅威の情勢等について」を基に筆者作成
警察庁「サイバー空間をめぐる脅威の情勢等について」を基に筆者作成

■日本におけるRDP利用傾向

 一言でリモートデスクトップと言っても様々な方法があるため、まずは日本全体でどのようなリモートデスクトップツールがインターネットに公開されているのかを調査した。結果は以下の通りだ。3389番を使うWindowsのRDP(青色の線)が他を圧倒していることがわかる。

Shodanのデータを基に筆者作成。RDPは青色の線が該当する。
Shodanのデータを基に筆者作成。RDPは青色の線が該当する。

 次に、3389番ポートに限定しドメイン別での利用傾向を調査した。この調査ではホスティング系、IaaS系、モバイル系の三種類でRDPが利用されていると推測出来ることがわかった。

Shodanのデータを基に筆者作成。主なポイントはオレンジ色のamazonaws.comの減少と、白色の線mopera.netの増加。
Shodanのデータを基に筆者作成。主なポイントはオレンジ色のamazonaws.comの減少と、白色の線mopera.netの増加。

・ホスティング系サービス

ホスティング系のサービスについては公開システムのメンテナンス用等の用途ではないかと推測される。

ホスティングサービスについては個々のドメインで毎月増減はあるものの、トレンドと呼べるような傾向があるわけではなく、サービスのシェアに依存しているのではないかと推測される。

・IaaS系

明らかに「トレンド」と呼べるような推移を見せているのがamazonaws.com上で提供されているRDPだ。(グラフ上のオレンジ色の線)

2022年12月をピークとして、下降しているのがわかるがAWSのシェアが低下しているとは考えにくい。筆者の推測ではあるが企業側のセキュリティ対策が進んだのではないだろうか。

ランサムウェアの感染経路としてRDPも存在することは古くから知られていたため、IaaS上のRDP利用に対する厳格化や、ルールに違反しているRDPを自動的にブロックするCSPM等の採用が企業側で進んだ可能性があるのではないか?もしくはRDP以外の別ツールを使って管理する方法が進んでいるのではないだろうか。

本当の所は、Shodanのデータだけでは推測の域を出ないが、AWS上でShodanで検出可能な無防備に公開されているRDPインスタンスが減少傾向にあることは間違い無いのだろう。

・モバイル系

今回、最も危険な傾向が見て取れたのは、モバイル系だ。Shodanで表記されるドメインのうち、mopera.net、au-net.ne.jp、iijmobile.jp※1をモバイル系に分類しているのだが、mopera.netが2024年8月から急上昇している。(グラフ上の白色の線)

※1 iijmobile.jpについては2024年1月以降0件と計測されるようになっており、Shodanで正確な情報が取得出来ていない可能性がある。

このmoperaの急上昇を支えているのが、Windows 7 Professionalなのだ。

Shodanのデータを基に筆者作成。2024年8月からWindows 7 Pro(赤色の線)が急増している。
Shodanのデータを基に筆者作成。2024年8月からWindows 7 Pro(赤色の線)が急増している。

■Windows 7のRDPに潜む脆弱性"BlueKeep"

Windows 7のサポートは2020年1月14日に終了しており、セキュリティ更新プログラムの提供も終了している。OS自体に新たな脆弱性が発見されても修復されることが期待出来ないし、OS上で動作しているセキュリティツールもサポート切れのOSをいつまでもサポートしている訳ではなく、今は動作していもいつ動作しなくなるかはわからない。

そして、Widnows 7のRDP自体に"BlueKeep(CVE-2019-0708)"と呼ばれる脆弱性が存在する。これは、認証されていない遠隔の攻撃者がRDPを使用して任意のコードを実行出来る非常に危険な脆弱性だ。

残念ながらShodan上では検出されたWindows 7 Professionalの大半で"BlueKeep"が存在していると表記されている。

サイバー攻撃者にとっては外部に公開されているRDPは発見しやすくただでさえ標的となりやすいが、それだけでなく既知の脆弱性も悪用出来るとなれば、狙われる可能性が上昇すると考えるのは自然だろう。

何故、外部にRDPを公開しているWindows 7 Professionalが増加しているのか?その理由はShodanからは読み取れないが、サイバー攻撃者にとって魅力的な攻撃対象が増加傾向にあるのは明らかだ。

自社内でWindows 7 Professionalを利用している場合には、RDPは極力禁止する、より抜本的な対策としてサポート対象のOSへと移行することを推奨する。

大元隆志
CISOアドバイザー

通信事業者用スパムメール対策、VoIP脆弱性診断等の経験を経て、現在は企業セキュリティの現状課題分析から対策ソリューションの検討、セキュリティトレーニング等企業経営におけるセキュリティ業務を幅広く支援。 ITやセキュリティの知識が無い人にセキュリティのリスクを解りやすく伝えます。 受賞歴:アカマイ社 ゼロトラストセキュリティアワード、マカフィー社 CASBパートナーオブ・ザ・イヤー等。所有資格:CISM、CISA、CDPSE、AWS SA Pro、CCSK、個人情報保護監査人、シニアモバイルシステムコンサルタント。書籍:『ビッグデータ・アナリティクス時代の日本企業の挑戦』など著書多数。

大元隆志の最近の記事