コラム

Column

2019.07.12

セキュリティ面から考える「リモートデスクトップ(RDP)」と「仮想デスクトップ(VDI)」

利便性が高く、手軽に利用できるリモートアクセスとして広く利用されている「リモートデスクトップ(Remote Desktop:RDP)」。個人はもちろん、企業でも利用されているケースが多いようです。 しかし、このリモートデスクトップの脆弱性を狙ったランサムウェアも発見されています。このコラムでは、セキュリティ面から「リモートデスクトップ(RDP)」と「仮想デスクトップ(VDI)」についてご説明いたします。

目次
リモートデスクトップも狙われている、ランサムウェアの脅威!
リモートデスクトップが利用しているポート3389の脆弱性
セキュリティリスクへの十分な対策が必要なリモートデスクトップ
ランサムウェア対策だけでなく端末管理も継続して必要となります
まとめ セキュリティに強みがある「仮想デスクトップ(VDI)」
リモートデスクトップも狙われている、ランサムウェアの脅威!
コンピュータのデータを暗号化したりロックしたりして、元に戻すことと引き換えに身代金を要求する「ランサムウェア」。身代金要求型不正プログラムとも呼ばれ、10年ほど前から猛威を振るっており、 近年ではセキュリティ保護がされていない遠隔デスクトップ制御 (RDP) 接続が組織の弱点になり、ランサムウェアの攻撃を受けやすくなっています。 ランサムウェアの被害についてはたとえば次のような事例があります。米国のある病院では、システムメンテナンスで利用していたリモートデスクトップの接続口が狙われました。 メインシステムなどがランサムウェアによって暗号化され、システム復旧のために身代金を支払いすることとなったのです。
逆に「身代金を支払わない」ことで復旧に数億円の費用がかかり、事件から1カ月近くたったにもかかわらず、システムを100%復旧できなかった事例もあります。
リモートデスクトップが利用しているポート3389の脆弱性
従来、ランサムウェアの主な拡散手段にはメールが利用されていました。添付ファイルを開いたり、本文中に記載されているリンク先をクリックしたりすることでマルウェアに感染し、使用不能になったところで身代金が要求されます。
しかし、それだけではなくWindows OSの「リモートデスクトップ(Remote Desktop:RDP)」が接続時に利用しているポート3389への攻撃も現れました。
2019年5月のマイクロソフトの月例セキュリティ情報で明らかになったBlueKeepとも呼ばれる脆弱性は、既にパッチが配布されていますが、何らかの理由でインストールされないこともあり得ます。 このような脆弱性は、ランサムウェアにとっては格好の侵入口となり、忍び込まれたらファイルの暗号化が開始されてしまいます。リモートデスクトップを狙うランサムウェアとしては、SamSam、Crysis/Dharma、GandCrabなどが知られています。
セキュリティリスクへの十分な対策が必要なリモートデスクトップ
リモートデスクトップは遠隔でのアクセスを提供する技術で、早くから利用されてきた技術です。オフィスで作業中にデスクを離れても、外出先から机上のパソコンのデスクトップにアクセスして作業を継続することができ、便利に活用されています。
リテラシーの高い利用者であれば、個人でWindows OSの設定を変更し、リモートアクセスを実現できます。社内でも意外と利用者が多いかもしれません。また、営業担当者など外回りの多い部門向けに、利用を許容している企業も多いようです。
しかし、セキュリティ対策が十分でないとリスクにつながる可能性があります。ご紹介したように何かしらの理由でポート3389の脆弱性がランサムウェアの侵入口となった場合は、そのパソコンはもちろん、企業の基幹システムにさえ影響が生じる可能性もあり得ます。 リモートアクセスの際にはユーザー名とパスワードの入力が求められますが、逆にいうと、それが漏れてしまえば容易に第三者に侵入を許してしまうのです。
ランサムウェア対策だけでなく端末管理も継続して必要となります
もちろん、リモートデスクトップにも対策方法はあります。たとえば、IPアドレス制限によって接続できるパソコンを制限することが考えられます。2要素認証や仮想プライベートネットワーク(VPN)を採用し、悪意あるアクセスを防御することもできます。
しかし、セキュリティを保つためには、企業として設置しているリモートデスクトップサービス全体の対策が十分にできていないとリスクは残ります。そのため、イベントログを監視したり、ログイン試行回数を制限するなどの作業が求められ、システム担当者の負荷を増加させています。 また、よりセキュアに利用できるリモートデスクトップのソリューションも登場しています。それらのソリューションでは多要素認証やVPN接続など不正アクセスを防止するセキュリティ対策が講じられています。
ただし、接続先のパソコンにリモートデスクトップを行うためには、接続に用いるデバイスと、接続先のパソコンを両方ともセキュアに維持していく必要があります。
OSのパッチを随時適用していくこと、ウイルス定義ファイルの最新化を随時実施していくこと、盗難対策、故障に伴う入替対応、備品としての管理作業など、一定のリソースを割き続ける必要が生じます。
ここでおすすめしたいのが仮想デスクトップです。リモートデスクトップツール同様、端末にデータが残らない仕組みはもちろん、社内設置のPCが不要となるため、管理端末が減少しPCの配布、更新、トラブル対応などの負荷を軽減することができます。 セキュリティパッチやウイルス定義ファイル更新も一元的にできるため、すべての端末で同じセキュリティレベルを実現することができます。
まとめ セキュリティに強みがある「仮想デスクトップ(VDI)」
リモートデスクトップは個人でも気軽に活用できる便利なリモートアクセスの手段です。しかし、運用方法によっては、セキュリティリスクが伴うこともあり得ます。ランサムウェアに狙われ多額の身代金を要求された事件が発生した事実もありますし、今後、RDPを狙う新たな脅威が発生するかもしれません。セキュアなリモートアクセスを実現されたいのなら仮想デスクトップをおすすめします。