初回投稿 2016年4月9日
最終更新 2019年1月26日

【危険】RDPリモートデスクトップがランサムウェア感染経路に 身代金ウイルス被害

リモートデスクトップ RDP 経由で Windows に不正アクセスされてランサムウェアを起動する感染経路の紹介

Windows パソコンの文書、画像、圧縮アーカイブなどを暗号化して破壊した上で、ファイルを元に戻す復号ツール の購入を名目に身代金の支払いを要求する深刻な脅威 ランサムウェア。 

そのランサムウェアには、大きく 2つ のウイルス感染経路が知られてます。


《1》 Eメールでランサムウェア感染

”支払い請求書” とか ”荷物の配達通知” みたく装った迷惑メールの添付ファイル、あるいはメール本文中の URL から入手した不正なファイルを Windows ユーザーさんが普通にダブルクリックして開き、ランサムウェアに自爆感染するパターンです。





《2》 ネットサーフィン中にランサムウェア強制感染




遠隔操作でランサムウェア感染被害

ただ、上の2つに該当しない ランサムウェア感染経路 として、攻撃者がネットワーク越しに Windows へ不正アクセスして、遠隔操作(リモートアクセス)でマルウェアを送り込み手動感染 させるおっかない手口があります。
 
この攻撃は、正規に提供されているリモートアクセス機能を悪用する方法です。


《 ランサムウェア感染パターン1 》

便利で有名なツールも攻撃手段として悪用されると危険な凶器に…。

外部からの PC 遠隔操作を目的として、正当に提供されてる リモートコントロールソフト を介して、ランサムウェアを強制的に感染させる手口が確認されています。

  • Splashtop by Splashtop Inc

  • TeamViewer by TeamViewer GmbH

  • LogMeIn by LogMeIn, Inc

● TeamViewer を介したランサムウェア感染に関して
TeamViewerは数多くのユーザーに利用されているソフトウェアであるため、多くのインターネット犯罪者が闇サイトなどで入手したアカウントのデータにログインし、それらアカウントの認証情報に合致するTeamViewerアカウントがないか確認しようとします。この場合、犯罪者は割り当てられたデバイス全てにアクセスし、マルウェアやランサムウェアをインストールしようとすることができます。
https://wwwold.teamviewer.com/ja/press/statement-on-ransomware-infections-via-teamviewer.aspx


《 ランサムウェア感染パターン2 》

攻撃を喰らう前提として、定例更新の Windows Update を実施してない環境です。

中でも、2017年3月のセキュリティアップデートで対処されていた SMB(Server Message Block)の脆弱性 MS17-010 を悪用した攻撃が有名です。

その代表例として、2017年5月にメディアを騒がせた世界的なサイバー攻撃 WannaCry ランサムウェア で、日本国内でも感染被害が発生しました。 <米国曰く北朝鮮のグループが関与?

ランサムウェア WannaCrypt 攻撃に関するお客様ガイダンス - Microsoft
CVE-2017-0145 を悪用し細工したパケットを SMB サーバーに送ることで拡散します。このランサムウェアは 2017 年 3 月に修正された SMB v1 の脆弱性 (MS17-010) を利用するため、お使いのコンピューターが最新のセキュリティ更新プログラムをインストール済みであることを確認してください。
https://msrc-blog.microsoft.com/2017/05/14/


《 ランサムウェア感染パターン3 》

Windows OS のビジネス向けエディション、あるいはサーバー向けの Windows Server に標準実装されている接続機能 リモートデスクトップ(RDP) を介して、ランサムウェアを感染させる手口です。

イメージ 1
リモートデスクトップ RDP が搭載されてる設定画面

【リモートデスクトップ RDP 搭載 OS】
Windows 10 Pro
Windows 8.1 Pro
Windows 7 Professional / Ultimate
Windows Server 2008 / 2012

主に一般家庭向けの Windows エディションには、リモートデスクトップ(RDP)は搭載されておらず影響しません。

イメージ 3
[リモートアシスタント] の下に項目が存在しない

【リモートデスクトップ RDP 未搭載 OS】
Windows 10 Home
Windows 8.1 Home
Windows 7 Home Premium

リモートで遠隔感染するランサムウェア例

マルウェアの感染間口の広さから被害者が続出する ランサムウェア とは違い、局所的に被害が発生するマイナーな ランサムウェア が暗躍する傾向が多いです。

eda2 … オープンソースのランサムウェア
└ Magic Ransomware
└ Fantom Ransomware
CrySiS/Dharma/Wallet ランサムウェア
《ファイル拡張子》 ~.[メールアドレス].[拡張子]
《メールアドレス》 @india.com @aol.com @qq.com @plague.life
《脅迫文ファイル》 .phobos .java .arena .onion .wallet .dharma .zzzzz .CrySiS .xtbl
※攻撃者が復号鍵を公開した一部バージョンのファイル復号ツールあり
Apocalypse ランサムウェア
《ファイル拡張子》 .crypted_file
Surprise Ransomware / Kangaroo Ransomware
CryptON / Cry9
└ NEMESIS Ransomware / Cry128
《ファイル拡張子》 ~.fgb45ft3pqamyji7.onion.to._ ~kgjzsyyfgdm4zavx.onion.to._ ~2irbar3mjvbap6gt.onion.to._ ~gebdp3k7bolalnd4.onion._
《脅迫文ファイル》  _DECRYPT_MY_FILES.txt
※ 暗号化されたファイルのクラックで一部バージョンのファイル復号ツールあり

└ UIWIX Ransomware
《ファイル拡張子》 ~.UIWIX
《脅迫文ファイル》 _DECODE_FILES.txt
WannaCry
《ファイル拡張子》 ~.WNCRY
BTCWare
《ファイル拡張子》 「~.[メールアドレス].crypton」「~.[メールアドレス].aleta」「~.[メールアドレス].master」「~.[メールアドレス].theva」「~.[メールアドレス].onyon」「~.[メールアドレス].cryptowin」「~.[メールアドレス].cryptobyte」「~.[メールアドレス].btcware」
《脅迫文ファイル》 !## DECRYPT FILES ##!.txt !#_READ_ME_#!.hta !#_READ_ME_#!.inf #_RESTORE_FILES_#!.inf !#_DECRYPT_#!.inf #_README_#.inf
※ 攻撃者が復号鍵を公開したため一部バージョンのファイル復号ツールあり
GlobeImposter
《ファイル拡張子》 ~.oni
《脅迫文ファイル》 !!!README!!!.html
Amnesia Ransomware
《ファイル拡張子》 ~.[メールアドレス].scopio ~.[メールアドレス].scrab ~.amnesia
《脅迫文ファイル》 IF YOU WANT TO GET ALL YOUR FILES BACK, PLEASE READ THIS.TXT / HOW TO RECOVER ENCRYPTED FILES.TXT
Zeropadypt Ransomware
《ファイル拡張子》 ~.[ID=*][Mail=*@*].limbo ~.[ID=*][Mail=*@*].Lazarus ~.[ID=*][Mail=*@*].Lazarus+
《脅迫文ファイル》 Read-Me-Now.txt DECRYPTION_GUIDANCE.txt

〔注意〕
こららランサムウェアに関連するキーワードで Google や Yahoo! を調べると、セキュリティ情報を装って海外製の迷惑ソフト Reimage RepairSpyHunter 5WiperSoft のダウンロードを仕向ける詐欺サイトが検索結果にヒットします。

ランサムウェア遠隔感染のウイルス対策

この手のランサムウェア攻撃の原因は次のようなところ?

  1. 未使用なのに、RDPリモートデスクトップを有効にしたまま放置している
    使う場面もなく、リモートコントロールソフトを起動したまま放置している

  2. 設定されてるパスワードがテキトーすぎて総当りブルートフォース攻撃で破られる

  3. いろんなウェブサービスで同一のパスワードを流用して使い回している
    → 外部流出したアカウント情報で PC へ不正アクセスされる

ランサムウェアの拡散に悪用される RDP (リモートデスクトッププロトコル) - Sophos
攻撃者が一度に 1 台ずつコンピュータに侵入して、ユーザーが Word やメモ帳、あるいはゲームの「ソリティア」を使用するときのように手動でクリックをしてランサムウェアを実行するという手法です。
https://nakedsecurity.sophos.com/ja/2017/11/15/

RDP経由のブルートフォース攻撃を確認、暗号化型ランサムウェアCRYSIS - トレンドマイクロ
攻撃者は、一般的に使用頻度の高いユーザ名とパスワードを利用してログインを試みます。正しいユーザ名とパスワードの組み合わせを探し当てると、攻撃者は、通常、短期間のうちに何度もアクセス接続し、PCを感染させます。このような繰り返しの作業により、通常数分で感染に成功します。
https://blog.trendmicro.co.jp/archives/14451

400万台を超えるWindows PCがRDP経由の脆弱性にさらされている - Cylance
RDPをサポートしているすべてのWindowsクライアントおよびサーバーバージョンでは、RDPはデフォルトでは無効化されています。それにもかかわらず、Rapid7によるソナー調査では、約1100万ものWindowsエンドポイントでポート3389が開いていて、そのうちの410万台のPCでは「何らかの形でRDPでの通信」が行われていたことが判明しました。(日本には6万1,024台)
https://www.cylance.com/ja_jp/blog/jp-over-four-million-windows-pcs-vulnerable-through-rdp.html

リモートデスクトップサービス(RDS)に関する通信の検知状況 - IBM Tokyo SOC
攻撃者はRDSが稼働するホストを洗い出した後、RDP経由でブルートフォース攻撃を行い、Windowsログオンに必要なユーザー名とパスワードの取得を試みます。この攻撃はNcrack, Hydra, crowbar等のオープンソースのツールを用いて比較的容易に実行が可能です。また入手したユーザー名やパスワードをインターネット上で販売し金銭に換える行為も確認されています。
https://www.ibm.com/blogs/tokyo-soc/rdsvulns2019/


リモートデスクトップ接続

Windows の コントロールパネル → [システム] → [リモート]タブ を開き、リモートデスクトップ の [このコンピュータへの接続を許可しない(D)] にチェックマークが入っていて無効になってることを確認します。

リモート デスクトップ接続を使用して別のコンピューターに接続する
https://support.microsoft.com/ja-jp/help/17463/

リモートデスクトップ RDP を利用する場合は、セキュリティ対策としてデフォルトのポート番号 3389 から変更します。

Windowsのターミナルサービス/リモートデスクトップ接続のポート番号を変更する - @IT
リモートからいつでも自宅の環境へリモート・デスクトップ接続できるようにしているユーザーは要注意である。ブロードバンド接続環境の普及により、出先のモバイル環境から常に自宅へログオンできるように備えているユーザーも増えているようである。しかしリモート・デスクトップ接続では、結局のところ、ユーザー名とパスワードさえ一致すれば、簡単にログオンすることができる。これは非常に危険な状態であるといえる。
https://www.atmarkit.co.jp/ait/articles/0309/27/news003.html


適切なパスワードの設定を厳重に

最悪のパスワードとして危険! ゼッタイにダメッ!

  • 辞書にある英単語
    password admin administrator server test user account desktop database guest …

  • 英数字の羅列、キーボードの配列
    111111 123456 aaaaaa qwerty abcdef abc123 …

● Windowsサーバーを狙ったランサムウェア感染被害が発生 - IPA
「Windowsサーバー内のファイルが暗号化された」というランサムウェア感染被害と考えられる相談や届出が寄せられています。Windowsサーバー内のファイルが暗号化されてしまった原因には、パスワード設定の不備があり、その結果Windowsサーバーに不正ログインされてしまい、ランサムウェアに感染させられてしまったと考えられます。
https://www.ipa.go.jp/security/anshin/mgdayori20170427.html

インターネット経由の攻撃を受ける可能性のある PC やサーバに関する注意喚起 - JPCERT
インターネットからアクセス可能な状態になっている PC やサーバ等において、適切なセキュリティ対策が行われていない場合、攻撃者に悪用され、組織内のネットワークへの侵入や、他のネットワークへの攻撃の踏み台として使われる危険性があります。
https://www.jpcert.or.jp/at/2017/at170023.html
https://www.jpcert.or.jp/pr/2016/pr160001.html


ランサムウェア感染ではないけれど、だいぶ前の2011年に RDPリモートデスクトップ経由でワーム拡散の注意喚起です。

● Remote Desktop (RDP) が使用する3389番ポートへのスキャンに関する注意喚起 - JPCERT
TCP 3389番ポートへのスキャンが 2011年8月中旬より増加していることを、インターネット定点観測システム において確認しています。これらのスキャンの原因は特定できておりませんが、Windows が使用する RDP (Remote Desktop Protocol) のサービスが待ち受けているポートを対象にスキャンを行い、その後パスワードクラックを行うマルウエア (Morto) の可能性が考えられます。
https://www.jpcert.or.jp/at/2011/at110024.html

● マルウェア Morto に見る、強固なパスワードの重要性 – マイクロソフト
Windows の脆弱性は悪用せず、リモート デスクトップ接続で、よくある簡易なパスワードを使って ローカルネットワーク上の他の PC にログインし感染を試みるのが特徴です。一旦感染すると、システムは攻撃者に乗っ取られる可能性があります。今後もリモート デスクトップ接続のような正規の通信で、脆弱なパスワードで侵入するようなマルウェアが発生する可能性が考えられます。
https://blogs.technet.microsoft.com/jpsecurity/2011/09/06/

遠隔操作できる Windows PC の情報を売買!?

セキュリティ会社の記事によると、何万台にも及ぶ遠隔操作できる Windows サーバーの情報を売り買いする闇サイトなんてものが存在するとか。

● xDedic:不正入手された情報の取引フォーラムが、新たな攻撃の足がかりにも - カスペルスキー
活発な活動を見せているサイバー犯罪者の取引フォーラム、xDedicの実態を調査しました。xDedicの主たる目的は、世界中でハッキングされた70,000台以上のサーバーの認証情報を手軽に売買可能とすることです。いずれのサーバーも、Remote Desktop Protocol(RDP)経由でアクセスできます。
https://blog.kaspersky.co.jp/xdedic/11748/

システムのバックドアを襲うRDP攻撃の詳細 ダークウェブではたった10ドルで取引 - マカフィー
ダークウェブには、ハッキングした機器にアクセスするリモートデスクトッププロトコル(RDP)をオンライン上で販売するRDPショップがあります。そこでコンピュータシステムへのログイン情報を購入すれば、都市の機能を停止させたり、大企業の活動をマヒさせたりすることもできるのです。
https://blogs.mcafee.jp/rdp-attacks-analysis

試しに、検索エンジン Shodan を使って 「3389 ポート」 を確認してみたら、ネットワーク越しにアクセスできうる日本国内の Windows マシンが結構ヒットするよね~。

イメージ 4

次のスクリーンショットは Shodan 上に掲載されていた日本語環境な Windows ログイン画面たちです。

イメージ 7
Administrator アカウント

イメージ 8

イメージ 9
ボカしているけど日本人の男性名

イメージ 5

イメージ 6

このログイン画面で、仮にも推測できるいい加減なパスワードが設定されていると…。

第三者がいともたやすく PC にログインでき、最初にセキュリティソフトを動作停止 or アンイストールすれば、任意のプログラム(ウイルス、スパイウェア、ランサムウェアなど)を妨害されることなく起動できるワケで、パソコンを乗っ取り放題、情報を引っこ抜き放題、とにかくヤバいです。 <正々堂々と真正面から PC に侵入できる

関連するブログ記事