ロブ・ライト, シニアニュースディレクター, Dark Reading
2025年8月26日
読了時間:3分
出典:Aleksey Funtap、Alamyストックフォトより
マイクロソフトのリモートデスクトッププロトコル(RDP)サービスは、ここ数日で数万ものIPアドレスから悪意のあるスキャンの猛攻撃を受けており、ゼロデイ脆弱性を狙った標的型攻撃キャンペーンの可能性が示唆されています。
脅威インテリジェンス企業GreyNoiseは月曜日のブログ投稿で、8月21日に約2,000のIPアドレスからのRDPスキャンの大規模な急増を報告しました。GreyNoiseのノア・ストーンによると、これらのIPアドレスの大半は悪意のあるものとして知られており、スキャンはMicrosoft RD Web AccessとMicrosoft RDP Web Clientの認証ポータルを同時に調査していました。
「この波の目的は明確でした。有効なユーザー名を明らかにするタイミングの不備をテストし、認証情報を用いた侵入の足がかりを作ることです」とストーンはブログ投稿で述べています。
GreyNoiseがブログ投稿を公開した直後、研究者らは8月24日に発生した、さらに大規模な第2波のRDPスキャンを確認しました。第2波では3万以上のIPアドレスが使われ、その多くは第1波と同じクライアントシグネチャに関連していました。
これらのスキャン急増が通常の活動と比べてどれほど大きいかを示すために、GreyNoiseは通常、RDPスキャンでは1日に3~5のIPアドレスからのスキャンしか検知しないと述べています。両方のスキャンの波は米国のみを標的としており、教育分野への攻撃を示唆している可能性があるとストーンは述べています。
「8月21日は米国の新学期開始時期にあたり、大学やK-12(幼稚園から高校まで)がRDPを利用したラボやリモートアクセスをオンライン化し、数千の新規アカウントを導入するタイミングです」とストーンは記しています。
将来的なゼロデイ脆弱性の兆候か?
ストーンはDark Readingに対し、今回のスキャンは複数の攻撃者ではなく、単一の脅威アクターまたはグループによるものの可能性が高いと述べていますが、GreyNoiseは特定の名前のアクターと結びつける証拠は持っていません。
「テレメトリは、複数の独立したアクターではなく、中央管理されたボットネット(または大規模な住宅用プロキシ群)を示しています」と彼はメールで述べています。「ほとんどの発信元はラテンアメリカ(特にブラジル)の消費者向けISPで、トラフィックは米国のエンドポイントのみを標的とし、数万台のホストが同じクライアントシグネチャ(異常に大きなヘッダーセットを含む)とほぼ同一のTCPシグネチャを示しています。この均一性の高さは、単一のオペレーターが同じモジュールを多くのノードに配布している場合によく見られるものです。」
さらに重要なのは、これほど大規模なスキャンの急増はしばしば新たな脆弱性の前兆であることが多いと彼は述べています。「最近の研究では、特定の技術に対する攻撃者の活動の急増が、その技術に新たな脆弱性が発見される前触れとなる傾向があることが分かっています」とストーンはブログ投稿で述べています。「80%のケースで、急増から6週間以内に新たな脆弱性が出現しました。」
また、RDPは近年さまざまな攻撃者にとって人気の攻撃対象となっていることも強調しました。これには国家支援型の脅威アクターも含まれます。RDPを利用した攻撃は、サイバースパイ活動からランサムウェア、BlueKeepのようなRDPメッセージ処理に関する重大なWindowsの脆弱性を利用した世界的な搾取キャンペーンまで多岐に渡っています。
たとえ新たなゼロデイ脆弱性が現れなかったとしても、大規模なRDPスキャンは依然として組織にとって緊急の問題であるとストーンは述べています。スキャンは、公開されたRDPインスタンスを持つエンドポイントを特定し、認証フローを確認するもので、パスワードスプレーやクレデンシャルスタッフィング攻撃につながる可能性があります。
この悪意のあるスキャンは、教育分野にとってさらに深刻なものだとストーンは述べています。
「これらの環境では、予測しやすいユーザー名フォーマット(学生IDやfirstname.lastnameなど)がよく使われるため、列挙攻撃がより効果的になります。予算の制約や新入生受け入れ時のアクセシビリティ重視と相まって、露出が急増する可能性があります」と彼は記しています。「このキャンペーンが米国のみを標的としているのは、そのカレンダーと一致しています。教育機関やITチームは今すぐRDPを強化し、このクライアントシグネチャによる後続の活動に注意を払うべきです。」