「リモート・デスクトップ・プロトコル(RDP)」は、Microsoftのほとんどすべてのオペレーティングシステム(OS)に搭載されている機能であり、ネットワーク上の2つのコンピュータの接続等を簡単に行えるようにすることが、その主な使用目的です。この機能を利用すれば、相互に接続された2つのコンピュータのGraphical User Interface(GUI)を確認できる点が大きな特徴でもあります。したがって典型的な用途としては、「特定のコンピュータにプログラム等をインストールする際、ユーザはそのコンピュータにログインしたままの状態でネットワーク上の別のコンピュータからネットワーク管理者が遠隔でサポートする」などがあります。この場合、ネットワーク管理者がRDPサーバを実行し、サポートされているコンピュータのユーザは、「RDC(リモート・デスクトップ・コネクション)」というRDPクライアントを実行することになります。

このRDPの機能は、現状のままでは、「サイバー犯罪が目的のコンピュータを狙ってコードをランダムに実行する」といった攻撃には無防備の状態となっています。こうした危険性を受けて、Microsoftは、2012年3月13日(米国時間)、「2012年3月のセキュリティ情報(月例)」において、このRDPに存在するた脆弱性を「リモート デスクトップの脆弱性により、リモートでコードが実行される(2671387)」として発表し、これを修正するためのセキュリティ更新プログラムを公開しました。

本稿では、この「RDP脆弱性」とはどのような特徴を有する脆弱性であり、この脆弱性が利用されるサイバー犯罪に対してトレンドマイクロがどのようなソリューションを提供しているかについて説明します。

「リモート デスクトップの脆弱性により、リモートでコードが実行される」とは、どのような脆弱性ですか?
この脆弱性は、特にRDPがメモリ上の一連のパケットを解析もしくは読み取る際の不具合を指します。したがって、特別に細工された一連のパケットを最初に送信することにより、この脆弱性を利用することができます。つまり、PRDは、特別に細工されたパケットをメモリ上で処理することができないため、不正リモートユーザは、この不具合を利用して、初期化に失敗したオブジェクトや削除済のオブジェクト等にアクセスできるコードを送信します。こうして、この不具合は修正されず、脆弱性として利用されます。

コードが実行されると、どのような被害が発生しますか?
不正リモートユーザや攻撃者がどのようなコードを送信するかで、被害の状況は変わってきます。マルウェアが実行されたり、影響を受けたコンピュータ上の任意のプログラムやアプリケーション等が実行・開封されたりする場合もあります。あるいは、影響を受けたコンピュータが完全に遠隔操作されてしまう場合もあります。さらには、サイバー犯罪たちが自分たちの不正活動のためにこれらのコンピュータを活用するケースもあります。

RDPの脆弱性を利用した実際の脅威は、既に確認されていますか?
2012年4月15日現在、トレンドマイクロのリサーチャーにより、この脆弱性を利用する「概念実証コード(PoC)コード」の存在が確認されているのみです。このPoCコードは、ターゲットにしたコンピュータに対してRDPの脆弱性を利用した「サービス拒否(DoS)攻撃」を実行できるハッキングコードであることも確認されています。

トレンドマイクロ製品で「DDOS_DUCAU.A」として検出されるこのハッキングツールは、コンピュータに侵入すると、まずそのコンピュータ上のRDPが有効化されているかどうかを確認します。有効化されている場合、さらにDoS攻撃を実行するようにプログラムされています。

実際の攻撃がまだ確認されていない段階で、警戒する必要はあるのでしょうか?
脆弱性利用は、スパムメッセージやマルウェア、ボットネットなどと異なり、大々的に報道される脅威には見えないかもれませんが、現実は、他のいずれにも劣らず非常に危険な脅威であると見なすべきでしょう。この脅威は、その構造上からも、ソフトウェア、Webサイト、アプリケーション、サーバ、さらにはオペレーティングシステム等にも存在するあらゆる脆弱性が利用されるため、様々な深刻な被害が想定されます。想定される被害の中で最も深刻なものが、「マルウェアの実行」や「不正リモートユーザによるコードの実行」などです。また、Webサイトの脆弱性が利用される場合も、その被害は、そのサイトを閲覧したユーザにすぐ現れてしまいます。

  • オランダのニュースサイトの改ざん被害
たとえば、最近の事例としては、オランダのニュースサイト「nu.nul」が改ざんされたケースなどがそれに該当します。このサイトのコンテンツ管理システム(CMS)に存在した脆弱性がサイバー犯罪者に利用され、改ざんが行なわれたといいます。このため、改ざんされた状態のサイトをユーザが閲覧すると、不正なスクリプトを読み込む状態へと誘導され、その他の様々な脆弱性利用の脅威がもたらされることになり、その結果、ユーザのコンピュータは、深刻な感染被害に陥ってしまいます。この事例からも、脆弱性利用により改ざんされたサイトを閲覧しただけで、様々な被害に遭遇してしまうという脆弱性利用の危険性を伺い知ることができます。

自宅およびオフィスでWindowsのPCを利用していますが、被害を受ける危険はないでしょうか?
RDPは、デフォルトでは有効化されていないため、自宅でご使用のコンピュータがRDPの脆弱性を利用する攻撃の被害を受ける可能性は低いといえます。また、オフィス等で使用しているコンピュータも、ファイアウォールで保護されている場合は比較的安全だといえるでしょう。

ただし、ネットワークに接続されたコンピュータは、ネットワークを介して各ユーザのサポート等を行う目的からも、RDPが有効化されている可能性が非常に高く、被害を受ける危険性は高いといえます。この部分については、IT管理者やオフィスのIT担当者に適切な判断を仰ぐべきでしょう。RDPが有効化されているかどうかは、通常、こうしたIT管理者や担当者から確認することができます。

RDPの脆弱性利用からコンピュータを守るためにどのような対策を行うことができますか?
「Microsoft Update」や「Windows Updates」の自動更新を有効にしておくこと。こうすることで、Microsoftから提供される更新プログラムを自動的にダウンロードしてインストールすることができます。ご使用のソフトウェアやアプリケーションに関しても、提供元からリリースされる修正パッチを確実に適応しておくことです。こうすることで、未修正や未適応の脆弱性を利用する攻撃からコンピュータを守ることができます。また、今回のRDPの脆弱性に関しては、特にRDPが使用するTCP3289番ポートのブロックも考慮するべきでしょう。もしくは、このポートのトラフィックスキャンや、トラフィックに何か異常がないか等のモニタリングを行うことも有効です。

トレンドマイクロ製品は、この脅威を防ぐことができますか?
トレンドマイクロの各製品は、RDPの脆弱性を利用する攻撃からユーザのコンピュータを確実に守ることができます。RDPの脆弱性利用のPoCコードとしても確認されたハッキングツールは、既に「DDOS_DUCAU.A」の検出名で検知されており、感染を未然に防ぎます。さらに、「Trend Micro Deep Security」および「Trend Micro 脆弱性対策オプション」をご利用のユーザは、フィルタ(1002508:Application Control For RDP)の適用が義務付けられていないPC上では、この脅威を回避するためにも「リモート デスクトップ共有機能」を無効にすることをお勧めします。また、「TMS」をご利用のユーザは、以下のTDAパターンに更新することでご使用のコンピュータやネットワークを確実に守ることができます。

  • Network Content Inspection Pattern (NCIP) 1.11595
  • Network Content Correlation Pattern (NCCP) 1.11579

関連マルウェア