概要
2025年10月8日より、大規模なボットネットが米国を標的とし、リモートデスクトッププロトコル(RDP)サービスへの攻撃を開始しました。この攻撃は、100,000を超えるIPアドレスから発信されており、そのIPアドレスの出所から、多国籍のボットネットによって実行されていると研究者は見ています。
攻撃の手口
RDPは、Windowsシステムへのリモート接続と制御を可能にするネットワークプロトコルであり、通常、管理者やヘルプデスク担当者、リモートワーカーによって利用されます。攻撃者は、開いているRDPポートのスキャン、ブルートフォース攻撃、脆弱性の悪用、またはタイミング攻撃を試みることがよくあります。
脅威監視プラットフォームであるGreyNoiseの研究者によると、このボットネットは2種類のRDP関連攻撃に依存しています。
- RD Webアクセス タイミング攻撃:RD Webアクセスエンドポイントをプローブし、匿名認証フロー中の応答時間の差を測定することで、有効なユーザー名を推測します。
- RDPウェブクライアント ログイン列挙:RDPウェブクライアントのログインフローと対話し、サーバーの動作と応答の違いを観察することで、ユーザーアカウントを列挙します。
攻撃の発生源と検出
GreyNoiseは、ブラジルからの異常なトラフィックスパイクを検知した後、アルゼンチン、イラン、中国、メキシコ、ロシア、南アフリカ、エクアドルなど、より広範な地域からの同様の活動を確認し、このキャンペーンを検出しました。同社は、ボットネットに侵害されたデバイスが存在する国の総数が100を超えると述べています。
攻撃に使用されたほぼすべてのIPアドレスは共通のTCPフィンガープリントを共有しており、最大セグメントサイズ(MSS)にはばらつきがあるものの、研究者らはこれらがボットネットを形成するクラスターに起因すると考えています。
推奨される対策
この種の活動から防御するために、システム管理者は以下の対策を講じることが推奨されます。
- 攻撃を発信しているIPアドレスをブロックする。
- 不審なRDPプロービングがないかログをチェックする。
- リモートデスクトップ接続を公共のインターネットに公開しない。
- VPNと多要素認証(MFA)を追加し、保護層を強化する。