リモートデスクトップ狙うアクセスが増加 - 広範囲のポートに探索行為

3月下旬ごろより、「Windows」のリモートデスクトップサービスを狙ったアクセスの増加を観測しているとして、警察庁が注意を呼びかけた。

同庁によれば、TCP 3389番ポートを含む広範囲の宛先ポートに対し、ユーザー名など特定の文字列を含むアクセスが行われているという。特定のIPアドレス領域より、広範囲のポートへアクセスの試行が行われており、ポート番号を変更して運用しているケースも含め、探索行為が行われていると分析している。

リモートデスクトップサービスに関しては、細工したRDPの接続要求により、コードを実行されるおそれがある脆弱性「CVE-2019-0708」が5月15日に公表され、旧OSも含めて修正プログラムが提供されていると指摘。

すでに同脆弱性の実証（PoC）コードが公開され、存在を確認するためのスキャンツールがインターネット上に公開されているとし、利用者に対して脆弱性の解消や不要なサービスの停止、適切なアクセス制限、推測されにくいパスワードの利用など、対策を呼びかけている。

リモートデスクトップサービスに対するアクセスの推移（グラフ：警察庁）

（Security NEXT - 2019/06/24 ）ツイート