リモート接続せつぞくねらうサイバー攻撃こうげきが急増きゅうぞう テレワーク増加ぞうかで

その結果けっか、リモート接続せつぞくを行おこなうログイン画面がめんにIDやパスワードの入力にゅうりょくを繰り返くりかえして不正ふせいアクセスを試こころみる「総そう当あたり攻撃こうげき」と呼よばれるサイバー攻撃こうげきの対象たいしょうとなったサーバーの数かずは、新型しんがたウイルスの感染かんせんが拡大かくだいする前まえのことし1月つきには223か所かしょでしたが、3月つきには242か所かしょ、4月つきには323か所かしょと次第しだいに増ふえ、9月つきは352か所かしょ、そして、先月せんげつには362か所かしょと、1月つきのおよそ1.6倍ばいになっていることがわかりました。

総そう当あたり攻撃こうげきは、パスワードを破やぶるためにロボットが機械きかい的てきに入力にゅうりょくを繰り返くりかえすもので、一ひとつのサーバー当あたりの攻撃こうげきの回数かいすうは膨大ぼうだいな数かずに上のぼっているとみられます。

攻撃こうげきは、ほとんどが海外かいがいからのものだったということです。

コロナ禍かで自宅じたくなどでテレワークをする人ひとが増ふえる中なか、攻撃こうげき者しゃは会社かいしゃのサーバーなどにつなぐリモート接続せつぞくのセキュリティーのぜい弱ぜいじゃく性せいを集中しゅうちゅう的てきにねらっているとみられ、解析かいせきを行おこなったカスペルスキー石丸いしまる傑すぐる研究けんきゅう員いんは「テレワークが続つづく中なか、セキュリティーがぜい弱ぜいじゃくなシステムを使つかっていたり、設定せっていを誤あやまったまま使つかっていたりするケースも多おおい。リモートアクセスできる人ひとを制限せいげんしたり、パスワードを強固きょうこなものにするなど、安全あんぜん対策たいさくを再さい確認かくにんしてほしい」と注意ちゅういを呼よびかけています。

リモートデスクトップのログイン画面がめん 公開こうかい状態じょうたいに

今回こんかい、攻撃こうげきの増加ぞうかが確認かくにんされたのは「リモートデスクトップ」と呼よばれる、リモート接続せつぞくのシステムです。

これは、自宅じたくのパソコンから会社かいしゃのサーバーなどに接続せつぞくして操作そうさできるようにするもので、ログイン画面がめんにIDとパスワードを打ち込うちこんで利用りようします。

もともと、企業きぎょうのサーバーの保守ほしゅ点検てんけんなどに使つかわれる機能きのうでしたが、コロナ禍かに入はいってテレワークでも多おおく使つかわれるようになっています。

ただ、この機能きのうを使つかう際さいにアクセスできる人ひとを制限せいげんしないで使つかい始はじめると、ログイン画面がめんが公開こうかい状態じょうたいとなり、誰だれでもパスワードを打ち込うちこめるようになります。

情報じょうほうセキュリティー会社かいしゃのRapid7が「リモートデスクトップ」で公開こうかい状態じょうたいになっているサーバーの数かずを調査ちょうさしたところ、コロナ禍かに入はいってから増ふえ続つづけていて、先月せんげつは平均へいきんして10万まん1900台だい余あまりが公開こうかい状態じょうたいにあり、緊急きんきゅう事態じたい宣言せんげんが出だされる前まえのことし3月つきの平均へいきんを1割わりほど上回うわまわっていました。

ログイン画面がめん公開こうかい状態じょうたいで即そく攻撃こうげき 実験じっけんで

会社かいしゃの重要じゅうようなサーバーにつながったリモートデスクトップのログイン画面がめんが公開こうかい状態じょうたいになっていると、どれだけパスワードの総そう当あたりなどのサイバー攻撃こうげきを受うけやすいか、情報じょうほうセキュリティー会社かいしゃが実験じっけんを行おこないました。

実験じっけんでは、あらかじめ、データを空そらにしたパソコンで、「リモートデスクトップ」の機能きのうを設定せっていし、外部がいぶからのアクセス制限せいげんを行おこなわずに公開こうかい状態じょうたいにしました。

パソコンに対にたいするアクセスを観測かんそくし、記録きろくしたところ、インターネットに接続せつぞくしたわずか1分ふん20秒びょう後ごに不審ふしんな通信つうしんが届とどき、通信つうしんは10分間ふんかんで10回かいを超こえました。

これは、「ポートスキャン」と呼よばれる調査ちょうさ用ようの通信つうしんで、端末たんまつがどのような機能きのうを持もち、どのようなアクセスが可能かのうかを調しらべているということで、通信つうしん元もとの国くにを調しらべると、インドやベトナム、アメリカなど27か国かこくにのぼりました。

さらに2日間にちかん放置ほうちしたところ、1万まん3850回かいにわたって、ログイン画面がめんにパスワードを入力にゅうりょくしてこじあけようとする攻撃こうげきがありました。

こちらの通信つうしん元もとの国くには、フィリピンや韓国かんこく、アフリカのエスワティニ、ラトビアなど、30か国かこくほどにのぼりました。

また、実験じっけんでは、IDとパスワードを単純たんじゅんなものと複雑ふくざつなものに設定せっていして比較ひかくしました。

すると、IDとパスワードをともに「user」や「admin」というアルファベットの単純たんじゅんな文字もじ列れつに設定せっていしたアカウントは、侵入しんにゅうを受うけました。

いっぽうで、パスワードをアルファベットに数字すうじや記号きごうを組み合くみあわせて設定せっていしたアカウントは、攻撃こうげき者しゃが手当てあたりしだいに入力にゅうりょくしてこじあけようとした形跡けいせきがありましたが、侵入しんにゅうされませんでした。

実験じっけんを行おこなった情報じょうほうセキュリティー会社かいしゃ網もう屋やの石田いしだ隆二りゅうじさんは、「短たん時間じかんで攻撃こうげきを受うけて驚おどろいた。攻撃こうげき者しゃは侵入しんにゅうしやすいところを探さがして企業きぎょうの中なかに入はいり、情報じょうほう資産しさんを奪うばって犯罪はんざいに使つかったり、脅迫きょうはくしたりする。リモートデスクトップの設定せっていミスによる公開こうかい状態じょうたいは、非常ひじょうにリスクが高たかい状況じょうきょうだと言いえる」と話はなしていました。

「ランサムウェア」仕掛しかけられるケース相次あいつぐ

このリモートデスクトップの穴あなをついて、ランサムウェア＝身代金みのしろきん要求ようきゅう型がたウイルスが仕掛しかけられたと見みられるケースも相次あいついでいます。

ある高校こうこうでは、ことし4月つきの休校きゅうこう中ちゅうに、職員しょくいんが出勤しゅっきんしてパソコンを立たち上あげたところ、英語えいごの脅迫きょうはく文ぶんが送おくりつけられていました。

「あなたのファイルはすべて暗号あんごう化かされている」「解除かいじょしてほしければ、我々われわれに連絡れんらくするように」そして、生徒せいとの進路しんろなど重要じゅうような個人こじん情報じょうほうも含ふくまれた、職員しょくいんが使つかう共有きょうゆうサーバーのデータがすべて暗号あんごう化かされ、開あけなくなっていました。

サーバーは、データをいわば人質ひとじちにとって身代金みのしろきんを要求ようきゅうするランサムウェアに感染かんせんしていたのです。

このサーバーは保守ほしゅ管理かんりのために、外部がいぶの業者ぎょうしゃが遠隔えんかくでアクセスできるよう「リモートデスクトップ」の機能きのうが使つかわれていましたが、設定せっていの不備ふびで第だい三さん者しゃもアクセスできる状態じょうたいになっていたために侵入しんにゅうされたのではないかと見みられています。

学校がっこう側がわは身代金みのしろきんは支払しはらわず、データは戻もどってきていないということで、教育きょういく委員いいん会かいの担当たんとう者しゃは「生徒せいとの大事だいじな情報じょうほうが無なくなったのはショックだった」と話はなしていました。

NHKが脅迫きょうはく文ぶんの文面ぶんめんを提供ていきょうしてもらい、情報じょうほうセキュリティー会社かいしゃマクニカネットワークスの勅使ちょくし河原かわはら猛たけしさんに分析ぶんせきを依頼いらいしたところ、脅迫きょうはく文ぶんのタイトルや連絡れんらく先さきのメールアドレスの書き方かきかたなどの特徴とくちょうから、使つかわれたのは「マトリックス・ランサムウェア」と呼よばれるウイルスとみられることがわかりました。

また、このウイルスは攻撃こうげき先さきのサーバーがロシア語ご圏けんのものだと、攻撃こうげきを止とめる特徴とくちょうがあることもわかり、攻撃こうげき者しゃのグループは、ロシア語ご圏けんを拠点きょてんとする可能かのう性せいもあるとみられると言いうことです。

このグループは、これまでも「リモートデスクトップ」の設定せっていの不備ふびをねらって攻撃こうげきを行おこなってきたグループだということで、勅使河原てしがわらさんは「もともとリモートデスクトップをねらっている攻撃こうげき者しゃが、コロナ禍かに入はいってリモートデスクトップの利用りようが増ふえ、設定せっていの不備ふびも増ふえたことで、攻撃こうげきを強つよめ、多おおくの被害ひがいを生うんでいる可能かのう性せいがある」と指摘してきしています。