弊社のグループ会社であるサービス&セキュリティ株式会社は2019年8月1日(木)~8月2日(金)に神戸で開催される「第14回AsiaJCIS 2019」に協賛いたします。
今年で14回目を迎えるAsiaJCISはアジアを中心とした情報セキュリティに関しての学術研究や業界からの成果を発表するフォーラムです。
詳しい内容はサービス&セキュリティのホームページにてご覧いただけます。
サービス&セキュリティ https://www.ssk-kan.co.jp/topics/?p=10021
是非ご覧いただきますようお願いいたします。
今回は2019年5月にMicrosoftより発表されたリモートデスクトップサービスの脆弱性を狙った攻撃手法やその対策について、セキュアソフトのグループ会社であるサービス&セキュリティ株式会社(SSK)のセキュリティオペレーションセンター(e-Gateセンター)より情報が公開されましたのでご紹介いたします。
このニュースはこちらよりPDFファイルにてご覧いただくことができます。
リモートデスクトップサービス (RDS) とは、Windowsにリモートでログオンし、データへのアクセスやアプリケーションの実行などの遠隔操作ができるサービスです。 2019年5月の月例セキュリティ情報において、MicrosoftはRDSにおける脆弱性 (CVE-2019-0708) を修正する更新プログラムを公開しました。この脆弱性は「BlueKeep」と名付けられ、2017年に甚大な被害をもたらしたランサムウェア「Wanna Cryptor」に匹敵する被害をもたらす危険性が指摘されています。Microsoftがすでにサポート終了している「Windows XP」などのOSに対しての更新プログラムを公開する異例の対応をとったことも、その危険性を物語っています。
そこで本記事では、「BlueKeep」の特徴と対策をご紹介いたします。
RDSにおいて、クライアントは遠隔サーバのTCPポート3389(デフォルト設定)に対してリモートデスクトッププロトコル (RDP) で通信を行います。この通信において、以下のような手順でサーバを乗っ取ることができます。
【図1:攻撃の流れ】
③の細工されたデータの送信はRDSのユーザー認証の前に行われるため、アカウント名やパスワードを知らなくてもサーバを乗っ取ることができます。接続に成功した場合、攻撃者が管理者権限を手に入れてしまい、悪意のあるプログラムをインストールしたり、すべての権限を持つ新しいアカウントを作成したりすることが可能になり、気づかないうちにサーバを乗っ取られてしまいます。
【図2:被害拡大のイメージ】
攻撃対象となったサーバからさらに別の端末に細工したデータを送信することで、ワームのように自動的な拡散が可能です。1つの端末が攻撃を受けてしまうと、ネットワーク内の他の端末も攻撃の対象となってしまう可能性があります。
この脆弱性の対象として発表されたのは以下のバージョンであり、サポートが終了したものが含まれています。
古いバージョンであるとはいえ、それらのバージョンのシステムがいまだに利用されているケースも少なくありません。前述のようにMicrosoftがそれらのシステムに対する更新プログラムを配布していることも、これが重大な問題であることを裏付けているといえるでしょう。
脆弱性を修正する更新プログラムをMicrosoftが公開しています。対象バージョンのシステムを使用している場合、インストールすることが推奨されます。
この脆弱性はRDSを利用したものであるため、必要ない端末のRDSを無効にしておくことも有効な対策であるといえます。その上で更新プログラムをインストールするとさらに確実です。
RDPはデフォルト設定で3389ポートを使って通信を行うため、当該ポートへの通信をFirewallやIPS(侵入防御システム)などで遮断することも一定の効果が見込めます。SecureSoft Sniper IPSでは2019年6月に配信されたシグネチャID 4791によって当該脆弱性に対応しています。ただし、FirewallやIPSで遮断できるのは外部からの侵入であるため、内部のネットワークから侵入される場合には効果がないことにご注意ください。
FirewallやIPSをはじめとするセキュリティ機器を導入する場合、それらの機器の運用監視を行うことが重要です。"e-Gate"の24時間365日有人監視体制のセキュリティ監視サービスをご活用頂きますと、最新の分析システムを活用し精度の高い検知、専任のアナリストによる分析、迅速なセキュリティインシデント対応支援でセキュリティ対策を強化することが可能です。"e-Gate"のMSSの導入をぜひご検討ください。
■総合セキュリティサービス「e-Gate」
SSK(サービス&セキュリティ株式会社)が40年以上に渡って築き上げてきたIT運用のノウハウと、最新のメソッド、次世代SOC"e-Gateセンター"この2つを融合させることによりお客様の情報セキュリティ全体をトータルにサポートするのがSSKの"e-Gate"です。e-Gateセンターを核として人材・運用監視・対策支援という3つのサービスを軸に全方位のセキュリティサービスを展開しています。
【参考URL】https://www.ssk-kan.co.jp/e-gate/
※本資料には弊社が管理しない第三者サイトへのリンクが含まれています。各サイトの掲げる使用条件に従ってご利用ください。リンク先のコンテンツは予告なく、変更、削除される場合があります。
※掲載した会社名、システム名、製品名は一般に各社の登録商標、または商標です。
〒150-0011
東京都渋谷区東3丁目14番15号 MOビル2F
TEL 03-3499-2077
FAX 03-5464-9977
sales@ssk-kan.co.jp
お客様各位
平素よりSecureSoft Sniper IPSサポートサービスをご利用いただきまして 誠にありがとうございます。
この度、アップデートサーバのメンテナンス作業を実施致します。
尚、作業時間帯は、アップデートサーバとの通信で瞬断が発生する 可能性がございます。
何卒、ご了承下さいますようお願い申し上げます。
---------------------------------------------------------------------
□【実施予定日】2019年8月6日 (火) 4:00~7:00
---------------------------------------------------------------------
※詳細につきましては添付ファイルをご参照下さい。
以下の画像をクリックしますと、PDFファイルにてご覧いただけます。
