テクニカル分析 RDPポート3389

リモート・デスクトップ・プロトコルは、デフォルトで TCP ポート 3389 で動作するため、公共のインターネットからアクセスする場合、攻撃対象として大きな脅威にさらされます。この技術分析では、プロトコルの脆弱性、悪用方法、およびセキュリティ・リスクを排除するためのゼロ・トラスト・ネットワーク・アクセス・ソリューションの実装について検証します。

RDPプロトコルのアーキテクチャと攻撃サーフェス

TCPポート3389の露出度ネットワーク・スキャンの調査によると、一般にアクセス可能なRDPエンドポイントは、全世界で約450万にのぼります。Shodan や Censys のような自動スキャン・ツールは、これらの露出したサービスを継続的にカタログ化しています。脅威当事者は、このインテリジェンスを活用して、脆弱な実装を組織的に狙っています。

プロトコルスタックの脆弱性RDP はアプリケーション層で動作し、トランスポートプロトコルとして TCP を使用します。リモート・デスクトップ・サービス（RDS）アーキテクチャには、攻撃ベクトルをもたらす複数のコンポーネントが含まれています：

• SSLカプセル化用ターミナル・サービス・ゲートウェイ（TSG）
• リモートデスクトップセッションホスト（RDSH）によるセッション管理
• 事前認証のためのネットワーク・レベル認証（NLA）
• ディスプレイ・レンダリング用グラフィックス・デバイス・インターフェイス（GDI）

各コンポーネントは、攻撃者が異なる方法論を通じて悪用する明確な脆弱性表面を提示する。

暗号化実装の脆弱性初期のRDPバージョンでは、RC4や56ビットDESなどの脆弱な暗号化アルゴリズムが実装されていました。最新の実装では、AES-256とTLS 1.2がサポートされていますが、多くの実装では互換性のために従来の暗号化が維持されています。攻撃者は、このような脆弱な実装を標的とした暗号ダウングレード攻撃を仕掛けてきます。

攻撃手法と攻撃パターン

ブルートフォース攻撃の自動化攻撃者は、RDPサービスを列挙するために分散スキャンインフラストラクチャを展開します。一般的なツールには次のようなものがあります：

• 認証ブルートフォース用Hydra
• サービス発見のためのRDPScan
• プロトコルに特化した攻撃のためのクラウバー
• ポストエクスプロイトのためのメタスプロイトRDPモジュール

これらのツールは、露出したエンドポイントに対して1分間に何千もの認証試行を生成する。デフォルトの認証情報や脆弱なパスワードは、数時間以内にこれらの攻撃を受けてしまいます。

BlueKeep 脆弱性の連鎖 (CVE-2019-0708)BlueKeep の脆弱性は、Windows 7、Windows Server 2008、および Windows Server 2008 R2 の Remote Desktop Services コンポーネントに影響します。この脆弱性は、RDP 接続を処理する rdpwd.sys ドライバに存在します。

技術的な搾取には以下が含まれる：

1. メモリレイアウトを制御するヒープグルーミング
2. チャネルの混乱による使用後フリー条件の発動
3. 信頼性の高い搾取のためのカーネルプール操作
4. システム特権による任意のコード実行

マイクロソフトはパッチをリリースしたが、パッチを適用していないシステムは、ネットワーク上に自動的に拡散するワーム型攻撃に対して脆弱なままである。

クレデンシャルリレーとパスザハッシュ攻撃RDP 接続は NTLM ハッシュを送信しますが、攻撃者はこれを傍受し、再生します。このプロトコルのチャレンジレスポンス認証メカニズムにより、攻撃者は平文のパスワードなしにハッシュ値を取得することができるため、パスザハッシュ攻撃が可能となります。

攻撃シークエンス

1. ARPスプーフィングやMITMによるネットワーク・トラフィックの傍受
2. キャプチャされた認証からのNTLMハッシュ抽出
3. 新しいRDPセッションへのハッシュインジェクション
4. 危殆化したクレデンシャルを介した横方向への移動

ネットワーク・アーキテクチャのセキュリティへの影響

境界防御のバイパス従来のファイアウォール規則は、特定のIP範囲からのポート3389へのインバウンド接続を許可しています。攻撃者は、次のような方法でこれらの制御を回避します：

• 許可された範囲からのIPアドレス・スプーフィング
• 信頼されたネットワーク内の侵害されたシステム
• 信頼されたアクセスのためのVPNエンドポイントの妥協
• 許可されたプロトコルによるDNSトンネリング

横方向の移動の促進RDPの侵害に成功すると、標的システムへの完全なデスクトップアクセスが可能になります。攻撃者はこのアクセスを次のような目的で利用します：

• Active Directoryクエリによるドメインコントローラの列挙
• ルーティングテーブル解析によるネットワークトポロジーマッピング
• メモリダンプとレジストリからのクレデンシャル・ハーベスティング
• ローカル脆弱性の悪用による特権の昇格

データ流出経路RDPセッションは、クリップボードの共有、ファイル転送、プリンタのリダイレクトをサポートしています。これらの機能は、データ流出のための秘密のチャネルを作成します：

• 正当なユーザー活動を装った大容量ファイル転送
• コピー・ペースト操作によるクリップボード・ベースのデータ盗難
• ファイル・システム・アクセスのためのプリント・スプーラの悪用
• ファイルシステムを直接操作するためのドライブマッピング

ゼロ・トラスト・ネットワーク・アクセスの導入

アイデンティティ中心のアクセス・コントロール ゼロ・トラスト・アーキテクチャは、アプリケーション・アクセスを許可する前に、ユーザーとデバイスを認証する。このアプローチは、ネットワークの場所に基づく暗黙の信頼を排除する。主なコンポーネントは以下の通り：

• ハードウェアトークンによる多要素認証（MFA）
• デバイス証明書の検証およびヘルスチェック
• セッションの継続的モニタリングとリスク評価
• ジャストインタイム（JIT）アクセスプロビジョニング

ソフトウェア定義境界アーキテクチャSDPの実装は、認証されたクライアントと特定のアプリケーションの間に暗号化された マイクロトンネルを作成する。このアーキテクチャには以下が含まれる：

• ポリシー管理と認証のためのSDPコントローラー
• 暗号化トンネル終端用のSDPゲートウェイ
• エンドポイント接続および実施用のSDPクライアント
• 暗号的信頼確立のための認証局

リバースプロキシとアプリケーションの隠蔽ゼロ・トラスト・ソリューションでは、ユーザーとアプリケーションの間にリバースプロキシが配置される。このアーキテクチャは以下を提供します：

• 権限のないユーザーからアプリケーションを見えないようにする
• 証明書の検証を伴うSSL/TLSの終了
• 検査と脅威検知の依頼
• セッションの記録と監査証跡の作成

リモート・イット・テクニカル・インプリメンテーション

Peer-to-Peer Network OverlayRemote.オープンなインバウンドポートを必要とせず、暗号化されたピアツーピア接続を確立する。技術的な実装は以下の通り：

• STUN/TURNプロトコルを使用したNATトラバーサル
• AES-256-GCMによるエンドツーエンドの暗号化
• 接続確立のための分散リレーネットワーク
• 自動フェイルオーバーと冗長性メカニズム

エージェントベースのアーキテクチャターゲットシステムにインストールされた軽量エージェントが、Remote.Itインフラストラクチャへのアウトバウンド接続を開始します。このアプローチにより、インバウンドポートの要件がなくなります：

• セキュアAPIエンドポイントによるエージェント登録
• 中継インフラへの持続的暗号化トンネル
• サービス接続用の動的ポート割り当て
• ヘルスモニタリングと自動再接続

認証と認可のフレームワーク・リモート。IDフェデレーションのためのOAuth 2.0とSAMLを実装している：

• 企業IDプロバイダーとのSSO統合
• きめ細かなパーミッションのための役割ベースのアクセス制御（RBAC）
• プログラムによるアクセスのためのAPIキー管理
• 有効期限を設定できるセッション・トークン

ネットワーク・セグメンテーションとマイクロセグメンテーションプラットフォームは、ユーザー・グループごとに分離されたネットワーク・セグメントを作成する：

• 物理的なインフラを必要としないVLANのような分離
• トラフィック制御のためのポリシーベースルーティング
• アプリケーション固有のアクセス・ポリシー
• ネットワーク・トラフィックの検査とフィルタリング

セキュリティ・プロトコルの比較

従来のVPNとゼロ・トラスト・アクセス

VPNを導入すると、認証後に広範なネットワーク・アクセスが可能になる。ユーザーはネットワーク・セグメント全体にアクセスできるようになり、横方向の移動リスクが高まります。ゼロ・トラスト・ソリューションは、継続的な検証によってアプリケーション固有のアクセスを提供します。

パフォーマンス特性：

• VPN：トラフィックのバックホールに起因する高遅延
• ゼロ・トラスト：最適化されたルーティングによるアプリケーションの直接接続
• VPN：ゲートウェイでの単一障害点
• ゼロ・トラスト：自動フェイルオーバーによる分散アーキテクチャ

RDPゲートウェイとRemote.Itの比較

Microsoft RDP Gatewayは、RDPをHTTPSでカプセル化しますが、従来の境界セキュリティモデルを維持します。リモート.境界の露出を完全に排除します：

RDPゲートウェイの制限：

• オープンなインバウンドポート（443/80）が必要です。
• アプリケーション層への攻撃に弱い
• 限定的なアクセス制御
• 複雑な証明書管理

リモート.イットの利点

• インバウンドポート要件ゼロ
• アプリケーションレベルのアクセス制御
• 証明書の自動プロビジョニング
• 配備と管理の簡素化

実施勧告

ネットワークアーキテクチャデザインRemote.ItエージェントをターゲットRDPサーバーに展開し、ポート3389へのすべてのインバウンド接続をブロックします。外部からのアクセスを完全に拒否するようにファイアウォールルールを設定する：

#
iptables -A INPUT -p tcp --dport 3389 -s 0.0.0.0/0 -j DROP
iptables -A INPUT -p tcp --dport 3389 -s 10.0.0.0/8 -j ACCEPT

監視とロギング すべてのRDP接続に対して包括的なロギングを実施する：

• ログオンイベントのWindowsイベントログ監視（4624/4625）
• 異常パターンのネットワーク・トラフィック分析
• 認証に失敗した相関関係
• セッション時間とアクティビティのモニタリング

インシデント対応手順RDP 関連のセキュリティイベントに対する自動対応機能を開発する：

• 認証に失敗するとアカウントが自動的にロックアウトされる
• 危険なシステムのネットワーク分離
• 影響を受けるエンドポイントのフォレンジック画像キャプチャ
• 脅威インテリジェンスの相関と共有

コンプライアンスとガバナンス RDPアクセス管理のポリシーを確立する：

• 定期的なアクセス審査と再認証
• 特権アカウント管理の統合
• RDP設定の変更管理
• セキュリティ評価と侵入テスト

Remote.Itのようなゼロ・トラスト・ソリューションによってRDPポートの露出を排除することで、必要なリモート・アクセス機能を維持しながら、組織の攻撃対象領域を大幅に削減できます。このアーキテクチャアプローチは、最新のセキュリティ原則に合致し、測定可能なリスク削減を実現します。

‍