S&J株式会社(以下、S&J)は、2023年8月に入って同社の顧客において攻撃の被害が拡大していること受け、急遽新たなサービスとして「RDPブルートフォース攻撃侵害評価サービス」をリリースしました。
近年増加中のRDPブルートフォース攻撃
近年増加しているRDPブルートフォース攻撃は、テレワークなどでPCを外部で使用したときにグローバルIPアドレスが付与されるケースを狙って、第三者がそのグローバルIPアドレスに対してリモートデスクトップログインを不正に試行するというもの。RDPブルートフォース攻撃の被害の内容としては「RDPされたPCが保持している情報の漏洩やマルウェア感染」「Active Directory環境で自社のドメインコントローラーが乗っ取られ、業務システムの停止やファイルが暗号化される」などが報告されています。
また、他社への攻撃の踏み台にされることによりサイバー攻撃の加害者となる危険性があります。どちらも企業にとって致命傷となるため、早期の発見と対策が必要です。
RDPブルートフォース攻撃による被害リスクをチェック
今回リリースされた「RDPブルートフォース攻撃侵害評価サービス」は、RDPブルートフォース攻撃に対する設定不備や被害有無を特定するための独自開発ツールを用いて、全数調査を行うサービス。同サービスを利用することで、持ち出し可能なPC(テレワーク端末を含む)のRDPブルートフォース攻撃による被害のリスクをチェックできます。
「Active Directory監視サービス」も対策として有効
S&Jの「Active Directory監視サービス」を導入することで、一般的な運用やセキュリティ機能では気づきにくい重要なWindowsサーバー(ドメインコントローラー/ファイルサーバーなど)に対するRDPブルートフォース攻撃をリアルタイム検知することも対策として有効です。Active Directory監視サービスは、SIEMでは検知が困難な脅威(RDPブルートフォース攻撃、DCShadow、DCSync、Pass The Hash、Golden Ticket、BloodHoundなど)を検知するサービス。
検知した情報のみを送信するため、SIEMよりもログ量が格段に少なくなります。
参考元:https://prtimes.jp/main/html/rd/p/000000013.000062785.html
(文・Haruka Isobe)