5月中旬に確認された「CVE-2019-0708」の脆弱性(通称「BlueKeep」)はWindowsのリモートデスクトッププロトコル(RDP)の脆弱性であり、本ブログの記事でもその詳細について解説しています。この脆弱性の危険性については、Microsoftが「WannaCry」のような強力なワームの登場に繋がりかねないとして、既にサポート終了済みのWindows XP以前のOSに対しても更新プログラムを公開したほどでした。そして公表から5か月近くが経過した11月頭、ついにこの脆弱性を利用する攻撃が実際に発生していることが初めて報告されました。この攻撃の存在はリサーチャが運用するハニーポットネットワークのクラッシュにより、観測されたものです。「BlueKeep」脆弱性に関しては既に6月の時点で複数のセキュリティ団体により攻撃方法が確認されており、実際の攻撃は時間の問題とされていました。攻撃に関する報告では、更新プログラムがまだ適用されていない多くのレガシーシステムが、「BlueKeep」を悪用する攻撃キャンペーンのターゲットになっていることが明らかにされており、実被害としては、コインマイナーの侵入による不正マイニングが行われていました。
この攻撃の実害が不正マイニングに留まっていることで、状況を楽観視する向きもあるようです。しかし、攻撃が初めて確認されたことを受け、Microsoftは「BlueKeep」を利用した更なる攻撃の可能性について注意喚起を行っています。実際、「BlueKeep」脆弱性に関しては2017年の「WannaCry」の際の教訓がすべて当てはまります。「WannaCry」が利用した「MS17-010」脆弱性はその時点で既に修正プログラムが公開されていましたが、「WannaCry」の大規模感染の発生により、多くの利用者が更新していなかったことが明らかになりました。「MS17-010」はファイル共有などのためのSMBの脆弱性です。SMBのポートがインターネットに露出していることは稀であり、この脆弱性を利用した組織内ネットワークへの侵入の危険はあまりないものと見られていました。しかし、実際には多くの組織のネットワークが侵入を受け、中には工場や駅の運行表示システムなど一般にはクローズドとみなされている環境での被害もありました。「BlueKeep」に関しても、5月のMicrosoftセキュリティアップデート、および6月の米国国家安全保障局(NSA)による警告にもかかわらず、80万以上のシステムが対処されないままになっていると推定されています。今回の事例では侵入したコインマイナーは自己拡散(ワーム)機能を備えていませんでしたが、BlueKeepはワーム化することが可能な脆弱性です。つまり、インターネット経由や侵入したネットワーク内で、更なる拡散と感染拡大を引き起こす危険性があります。2017年確認の「MS17-010」脆弱性は、現在でも組織内ネットワーク侵入後の横展開の活動において使用される事例が見られています。「BlueKeep」脆弱性に関しても同様に、LAN内の端末やサーバに対する攻撃に利用され続けることが予想されます。実際の攻撃事例が確認された今、脆弱性を早急に更新することが必要です。運用上の都合などにより、直ちに更新が行えない場合には他の一時的な回避策を検討してください。
■被害に遭わないためには
トレンドマイクロの「2019年上半期セキュリティラウンドアップ」で報告されているように、執拗なサイバー犯罪者や犯罪グループは、組織のシステムに存在するこれらのセキュリティのギャップを不法利益の源として利用します。以下のベストプラクティスに従って、このような脆弱性を利用する攻撃に狙われやすい領域を最小限に抑えてください。
- 最新の更新プログラムを適用してシステムを最新の状態に保つ。古くなったレガシーシステムまたはサポートが終了したシステムには、正規ベンダーから提供される仮想パッチ、または迅速に提供されるホットフィックスを利用する。
- 利用していないポートやリモートデスクトップサービスを閉じる、制限する、あるいは保護することによって、攻撃対象となりうる領域を最小限に抑える。
- 侵入に利用される可能性のあるアクセスの許可や、ツールへのアクセス、またプログラミング技術を制限し、最小特権の原則を採用する。暗号化、ロックアウトポリシー、その他役割に基づくアクセス制御などのセキュリティルールを適用して、リモートデスクトップの侵害を伴う攻撃に対するセキュリティ層を強化する。
■トレンドマイクロの対策
法人向け総合エンドポイントセキュリティ「Trend Micro Apex One™」や総合サーバセキュリティ「Trend Micro™ Deep Security™ 」では以下の DPIルールによってこの脆弱性を利用する攻撃を検出します。
- 1009749 – Microsoft Windows Remote Desktop Services Remote Code Execution Vulnerability
ネットワーク脅威防御ソリューション「TippingPoint」では、以下のMainlineDV filterによりこの脆弱性を利用する攻撃を検出します。
- 35296: RDP: Microsoft Remote Desktop Services Negotiation Request Without CredSSP
記事構成:岡本勝之(セキュリティエバンジェリスト)
参考記事:
- 「Halloween Exploits Scare: BlueKeep, Chrome’s Zero-Days in the Wild」
By Trend Micro
翻訳:室賀 美和(Core Technology Marketing, Trend Micro™ Research)
