2019年6月4日、NSA(米国家安全保障局)がリモートデスクトップの脆弱性(CVE-2019-0708、通称BlueKeep)への注意喚起を出した。これは、米マイクロソフトが2019年5月に公開したセキュリティーパッチの適用を促す異例のものだ。
同脆弱性は、細工したリモートデスクトッププロトコル(RDP)を標的のシステムへ送信することで、任意のコードを実行することが可能となる。現在、脆弱性スキャンを目的とした検証コードは複数確認されているが、リモートコードの実行を実現したものは報告されていない。
脆弱性検査ツールMetasploitのBlueKeepスキャナーモジュールを公開したセキュリティー研究者@zerosum0x0は、リモートコードを実行する“非公開”のMetasploitのモジュールのデモ動画を紹介。今後、ワームの出現は現実的にあり得ることに警鐘を鳴らしている。
急がれるRDPサーバーの防御強化
このような状況の中、ブラジルのMorphus Labsは、RDPを狙うボット「GoldBrute」の活動を報告した。同ボットは、脆弱なパスワードを狙ってリモートデスクトップへのログイン可否を試行する。将来的に、BlueKeepを利用できるように同ボットがアップデートされた際の影響が懸念されている。
GoldBruteに感染したシステムは、ボットがランダムなIPアドレスをスキャンし、公開されたRDPサーバーを探す(図1)。スキャンしたIPアドレスはC2(コマンド&コントロール)サーバーに報告され、80台の新たなRDPサーバーを報告するまで継続される。
C2サーバーは、報告された情報を基に、ボットネットにブルートフォース攻撃(総当たり攻撃)を指示する。各ボットは標的サーバーごとに1つのユーザー名とパスワードのみを試行する。セキュリティーツールの検知を逃れるためとみられる。
現在、GoldBruteの標的サーバー数は約160万台という。それらがBlueKeepの標的となれば、被害が甚大であることは想像に難くない。脅威に備えるには、セキュリティーパッチの適用の他に、ファイアウオールによるTCPポートの遮断やリモートデスクトップサービスの無効化など、ネットワークやサービスでの対策強化も必要だろう。
株式会社サイント
株式会社サイントでサイバー空間における脅威分析業務やインシデント対応業務などに従事。近年は国際的なサイバー犯罪や国家戦略に関連したサイバー攻撃の研究に取り組み、技術コンサルティングや脅威インテリジェンスなどに注力する。官公庁などのセキュリティ関係委員会の委員や教育機関の非常勤講師なども務める。近著に「動かして学ぶセキュ リティ入門講座」(SBクリエイティブ)などがある。
