Microsoftは2026年4月のセキュリティ更新から、リモートデスクトップ(.rdp)ファイルを悪用したフィッシング攻撃を減らすための新しいWindowsの保護機能を導入しました。
これらの更新により、リモートデスクトップ接続アプリケーションは接続が確立される前により強力な警告ダイアログを表示し、リモートシステムの詳細を表示し、ドライブやクリップボードなどのローカルリソースを共有するリクエストをユーザーがレビューすることを要求します。
RDPファイルはシステムがリモートコンピュータにどのように接続するかを定義し、クリップボード、ディスクドライブ、またはカメラなどのローカルリソースを共有するように構成することができます。
攻撃者は、フィッシングメールを介してRDPファイルを配布することでこの機能を悪用します。ファイルを開くと、攻撃者が制御するサーバーに接続でき、ファイル、保存された認証情報、その他の機密情報を含むローカルデータを公開する可能性があります。
新しいリモートデスクトップ警告の仕組み
更新がインストールされると、ユーザーがRDPファイルを初めて開いたときに、これらのファイルの動作方法とフィッシングリスクについての警告を説明する1回限りの教育プロンプトがWindowsに表示されます。
「このダイアログでRDPファイル接続を許可すると、アカウントに対して再度表示されません」とMicrosoft は記載しています。
RDPファイルが開かれるたびに、Windowsは接続が行われる前にセキュリティプロンプトを表示し、宛先システムを示し、ローカルリソースへの要求されたアクセスをすべてリストします。これらのオプションはデフォルトで無効になっており、ユーザーが手動で承認する必要があります。
RDPファイルがデジタル署名されていない場合、Windowsはその起源または整合性を検証できず、「注意:不明なリモート接続」というラベルの警告ダイアログを表示し、発行元が「不明な発行元」として記載されます。
RDPファイルがデジタル署名されている場合、Windowsはその起源を検証でき、警告ダイアログに発行元の名前を表示し、「このリモート接続の発行元を確認してください」というタイトルのバナーを表示します。
デジタル署名はファイルを作成したエンティティの身元を検証し、署名後にファイルが変更されていないことを確認します。ただし、署名はファイルが安全であることを保証しません。攻撃者は正当な組織に非常に似た名前を使用してファイルに署名することができるとこの企業は警告しています。
Microsoftは、将来のWindows更新では古い接続設定のサポートを削除する可能性があることを追加し、組織は新しいセキュリティダイアログへの移行をアドバイスしました。
翻訳元: https://www.helpnetsecurity.com/2026/04/16/microsoft-windows-remote-desktop-protections/
