世界中のビジネスネットワークに、静かな脅威が潜み続けている。ゼロデイ脆弱性がサイバーセキュリティの見出しを賑わせる一方で、公開インターネットに露出したリモートデスクトッププロトコル(RDP)は、2026年においてもサイバー犯罪者にとって最も信頼性が高く、頻繁に利用される初期アクセス手段の一つであり続けている。
セキュリティオペレーションセンターでは、脅威アクターがこれらの見落とされた設定を悪用してネットワークを侵害し、防御を回避して持続的なアクセスを確立するケースが継続的に観察されている。
セキュリティチームは常にリソース不足に悩まされており、専任の社内サイバーセキュリティ担当者を持たない組織も多い。
アラート疲労がこの問題をさらに悪化させ、フラグが立てられたRDP露出は忘れ去られたバックログへと埋もれていく。サイバー犯罪者はこうしたリソースの制限を、組織的かつ日和見的な攻撃によって利用している。
脅威アクターはインターネット上のオープンポート、主にポート3389を継続的にスキャンしている。露出したRDPサーバーが発見されると、高度なエクスプロイトを必要とせず、即座に侵入が開始される。
露出したリモートデスクトップWebアクセス(RDWeb)ポータルに関する最近のインシデントでは、攻撃者は持続的なアクセスのためにカスタム構築されたリバーストンネルと、自動化された認証情報収集スクリプトを展開した。
初期封じ込め後も、露出が継続している場合、攻撃者は新たに侵害されたアカウントを使用して同じ侵入経路に頻繁に戻ってくる。
ネットワーク内部への侵入後——多くの場合、脆弱なVPNや露出したポータル経由で——攻撃者はネイティブツールを使用してより深いアクセスのためにRDPを有効化する「環境寄生型攻撃(Living off the Land)」を行う。
最近の脅威インテリジェンスでは、攻撃者がファイアウォールルールとレジストリ値を変更するために以下のコマンドを活用していることが明らかになっている。
Huntressの調査によると、これらの自動化された攻撃への防御には、プロアクティブな構成管理と攻撃対象領域全体にわたる包括的な可視性が必要とされる。
組織は、ラテラルムーブメントが発生する前に不正アクセスを検知するための多層セキュリティプロトコルを実装しなければならない。
日和見的なRDP攻撃に対するレジリエンスを構築するため、組織は以下のセキュリティ対策を実施すべきである。すべてのRDPサービスを堅牢なファイアウォールの背後に安全に配置するか、リモートアクセスに仮想プライベートネットワーク(VPN)の使用を必須とする。
Shodanなどのツールを使用して外部IPアドレスの定期的なスキャンを実施し、意図せず露出したポートを特定してマッピングする。
既知の脆弱性を即座に修正し、脅威アクターが同じ侵入経路に戻るのを防ぐために認証情報のローテーションを徹底する。
ファイアウォールおよびVPNのログをセキュリティ情報イベント管理(SIEM)システムに統合し、初期アクセス試行に対する早期警戒システムを構築する。
エンドポイント検知・対応(EDR)ソリューションを導入し、ラテラルムーブメント、不審なサービスの再起動、および不正なレジストリ変更を監視する。
翻訳元: https://cyberpress.org/hackers-abuse-open-rdp/
