2023年に最も狙われたリモートデスクトップツールは?:セキュリティニュースアラート
Barracudaは、サイバー攻撃者に悪用されるリモートデスクトップツールに関する調査結果を公開した。主に標的とされているツールとその脆弱性や攻撃手法について詳細が説明されている。
Barracuda Networksは2024年5月1日(現地時間)、リモートデスクトップツールに関する調査結果を発表した。調査から、この12カ月で最も標的にされたリモートデスクトップツールが明らかになった他、リモートデスクトップツールを悪用したサイバー攻撃の具体例とその対策が公開された。
最も標的とされたリモートデスクトップツールをBarracudaが調査
この12カ月で最も標的にされたリモートデスクトップツールは以下の通りだ。
VNC(ポート番号5800+、5900+)
プラットフォームに依存しない広く利用されているツールだ。ユーザーとデバイスはOSに依存せずサーバに接続できる。VNCはAppleのリモートデスクトップおよび画面共有ソリューションなどのベースソフトウェアとして使用されている。
Barracuda Networksの調査によると、VNCは2023年に最も標的にされたリモートデスクトップツールであり、全てのリモートデスクトップ固有のポートのトラフィックの98%を占めていた。VNCに対して観測された攻撃のほとんどは脆弱(ぜいじゃく)なパスワードや再利用されたパスワードを使った総当り攻撃(ブルートフォース攻撃)だった。
最も悪用された脆弱性は「CVE-2006-2369」で、攻撃者は18年前の「RealVNC 4.1.1」の認証バイパスを悪用しようとしていた。多くのサイバー攻撃者はプロキシやVPNを使用して発信元を偽装しているため、攻撃の地理的なソースを正確に指摘することは困難だが、VNCを標的とする悪意のあるトラフィックの約60%は中国からの通信だと考えられている。
RDP(ポート番号3389)
Microsoftによって開発された独自のプロトコルおよびリモートデスクトップツールだ。RDPは2023年に検出されたリモートデスクトップツールに対する攻撃の試みの約1.6%を占めていた。
RDPを悪用した攻撃はマルウェアを展開したり、DDoS攻撃の一部として脆弱なマシンを利用したりするためによく使われている。
攻撃の試みの15%は古いCookieに関係していた。RDPはMicrosoftを装ったサポート詐欺(音声/電話フィッシング)攻撃でも使用され、RDPアクセスが有効になって許可されている場合に悪用される。
調査によると、脆弱なRDPインスタンスやクラックされたRDPインスタンスのアンダーグラウンドマーケットもあり、サイバー攻撃者が悪用している。RDPに対する攻撃の試みのほとんどは北米(攻撃の約42%を占める)で発生し、次いで中国とインドとなっている。
TeamViewer(ポート番号5938)
「TeamViewer」を標的とした攻撃は、データソースがカバーする全てのリモートデスクトップポートの悪意のあるトラフィックの0.1%を占めた。検出された幾つかの攻撃は「Log4Shell」の脆弱性に関係しており、「Frontline Command Center」を標的としていた。ポート番号5938に加えて、ポート番号80とポート番号443もTeamViewerで使用される場合があり、セキュリティチームがネットワーク上の悪意のある接続を検出するのがより困難になる可能性がある。
Independent Computing Architecture(ICA)(ポート番号1494、2598)
RDPの代替としてCitrixが作成したリモートデスクトッププロトコルだ。
AnyDesk(ポート番号6568)
ポート番号6568に加えて、ポート番号80またはポート番号443を利用できる。
Splashtop Remote(ポート番号6783)
「Splashtop Remote」はリモートデスクトップソリューションの中では最も攻撃の試みが少ないトラフィックだが、サポート詐欺に利用されている。また、脆弱な認証情報や再利用された認証情報、またはフィッシングされた認証情報を使用して侵害される可能性もある。
サイバー攻撃者は脆弱なアカウント情報や再利用されたアカウント情報、フィッシング詐欺などで取得されたアカウント情報などを悪用して従業員がアクセスするコンピュータへのアクセスを取得する。さらにこれらのツールは複数存在し、異なるポートを使っており、セキュリティチームにとって侵入の監視および特定を困難にする要因になっている。
関連記事
- 管理職なら年収2000万円超え サイバーセキュリティという困難だが“もうかる仕事”
サイバーセキュリティの仕事は難しく、常に感謝されるわけでもなく、燃え尽き症候群の報告も多いが、給与は悪くないようだ。ISC2の調査からセキュリティ業務に携わる人たちの平均年収が明らかになった。 - Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
Microsoft DefenderとKaspersky EDRにリモートからのファイル削除を可能とする脆弱性が見つかった。この問題はセキュリティソフトウェアのマルウェア検出機能が悪用されている他、問題の完全な解決は困難だと研究者は指摘している。 - 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
一般提供が開始された生成AIチャットbot「Microsoft Copilot for Security」。これはセキュリティ業務の役に立つのだろうか。セキュリティ担当者が実際に使ってみたメリット/デメリットを語った。 - 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
江崎グリコは基幹システムの切り替え失敗によって、チルド食品の出荷に影響が出ていると発表した。システム障害によって物流センターの業務を一時停止するとともに復旧作業を実施している。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.