2023年に最も狙われたリモートデスクトップツールは？：セキュリティニュースアラート

Barracudaは、サイバー攻撃者に悪用されるリモートデスクトップツールに関する調査結果を公開した。主に標的とされているツールとその脆弱性や攻撃手法について詳細が説明されている。

[後藤大地，有限会社オングス]

　Barracuda Networksは2024年5月1日（現地時間）、リモートデスクトップツールに関する調査結果を発表した。調査から、この12カ月で最も標的にされたリモートデスクトップツールが明らかになった他、リモートデスクトップツールを悪用したサイバー攻撃の具体例とその対策が公開された。

最も標的とされたリモートデスクトップツールをBarracudaが調査

　この12カ月で最も標的にされたリモートデスクトップツールは以下の通りだ。

VNC（ポート番号5800+、5900+）

　プラットフォームに依存しない広く利用されているツールだ。ユーザーとデバイスはOSに依存せずサーバに接続できる。VNCはAppleのリモートデスクトップおよび画面共有ソリューションなどのベースソフトウェアとして使用されている。

　Barracuda Networksの調査によると、VNCは2023年に最も標的にされたリモートデスクトップツールであり、全てのリモートデスクトップ固有のポートのトラフィックの98％を占めていた。VNCに対して観測された攻撃のほとんどは脆弱（ぜいじゃく）なパスワードや再利用されたパスワードを使った総当り攻撃（ブルートフォース攻撃）だった。

　最も悪用された脆弱性は「CVE-2006-2369」で、攻撃者は18年前の「RealVNC 4.1.1」の認証バイパスを悪用しようとしていた。多くのサイバー攻撃者はプロキシやVPNを使用して発信元を偽装しているため、攻撃の地理的なソースを正確に指摘することは困難だが、VNCを標的とする悪意のあるトラフィックの約60％は中国からの通信だと考えられている。

RDP（ポート番号3389）

　Microsoftによって開発された独自のプロトコルおよびリモートデスクトップツールだ。RDPは2023年に検出されたリモートデスクトップツールに対する攻撃の試みの約1.6％を占めていた。

　RDPを悪用した攻撃はマルウェアを展開したり、DDoS攻撃の一部として脆弱なマシンを利用したりするためによく使われている。

　攻撃の試みの15％は古いCookieに関係していた。RDPはMicrosoftを装ったサポート詐欺（音声/電話フィッシング）攻撃でも使用され、RDPアクセスが有効になって許可されている場合に悪用される。

　調査によると、脆弱なRDPインスタンスやクラックされたRDPインスタンスのアンダーグラウンドマーケットもあり、サイバー攻撃者が悪用している。RDPに対する攻撃の試みのほとんどは北米（攻撃の約42％を占める）で発生し、次いで中国とインドとなっている。

TeamViewer（ポート番号5938）

　「TeamViewer」を標的とした攻撃は、データソースがカバーする全てのリモートデスクトップポートの悪意のあるトラフィックの0.1％を占めた。検出された幾つかの攻撃は「Log4Shell」の脆弱性に関係しており、「Frontline Command Center」を標的としていた。ポート番号5938に加えて、ポート番号80とポート番号443もTeamViewerで使用される場合があり、セキュリティチームがネットワーク上の悪意のある接続を検出するのがより困難になる可能性がある。

Independent Computing Architecture（ICA）（ポート番号1494、2598）

　RDPの代替としてCitrixが作成したリモートデスクトッププロトコルだ。

AnyDesk（ポート番号6568）

　ポート番号6568に加えて、ポート番号80またはポート番号443を利用できる。

Splashtop Remote（ポート番号6783）

　「Splashtop Remote」はリモートデスクトップソリューションの中では最も攻撃の試みが少ないトラフィックだが、サポート詐欺に利用されている。また、脆弱な認証情報や再利用された認証情報、またはフィッシングされた認証情報を使用して侵害される可能性もある。

　サイバー攻撃者は脆弱なアカウント情報や再利用されたアカウント情報、フィッシング詐欺などで取得されたアカウント情報などを悪用して従業員がアクセスするコンピュータへのアクセスを取得する。さらにこれらのツールは複数存在し、異なるポートを使っており、セキュリティチームにとって侵入の監視および特定を困難にする要因になっている。