Windowsには「Bluekeep」と呼ばれる深刻な脆弱性があります。この脆弱性は2019年5月にマイクロソフト社よりリリースされ、脅威度の高い深刻な脆弱性です。脆弱性のCVEコードは「CVE-2019-0708」で、以下のWindowsバージョンに存在する脆弱性です。
マイクロソフト社はこの脆弱性を深刻な被害をもたらす可能性があると考えている模様であり、既に更新サポートを終了しているWindows XPなどの古いバージョンでもセキュリティ更新プログラムをリリースするなど異例の対応を取っています。
古いバージョンとはいえ、これらのWindowバージョンは未だに企業・個人用途ともに利用されているものであり対策が必須となります。
現在のところ、このBluekeepを利用したランサムウェアなどの大規模サイバー攻撃は発生していない模様ですが、今後発生する可能性のあるものであり情報資産の保護のために予め対処をする必要があります。
参照:Microsoft社ホームページ「CVE-2019-0708 | Remote Desktop Services Remote Code Execution Vulnerability」
BluekeepはWindowsの機能である「リモートデスクトップサービス(RDS)」に関する脆弱性です。RDSはその名の通り、Windowを遠隔操作することが可能な機能であり、リモート操作によりデータアクセス・アプリ実行ができます。
Bluekeepにより攻撃者はランサムウェアなどの悪意あるプログラムを対象パソコンやサーバーに送り込むことが可能となる危険性が高まります。
Bluekeepにより攻撃された場合の予想される影響としては、ランサムウェアによる保存データの破損やワーム攻撃(同一ネットワーク内にある他のサーバー等への感染拡大)に遭う恐れがあります。昨今、ランサムウェアの攻撃被害は重大なものであり、データ復旧が非常に難易度が高く攻撃の深刻度は深いものとなります。
Bluekeepを利用した攻撃手法は次のようなスキームが考えられます。
この脆弱性のポイントは上記3.であり、ユーザー認証前に攻撃用データが送信されることがセキュリティ上非常にまずい状況です。ユーザー認証前なので攻撃者はサーバーアクセス用のアカウントIDやパスワードを知る必要が無く、RDSアクセス用のポート番号が知られてしまうと攻撃の可能性が高くなります。
Bluekeepによる被害を防ぐための対策としては以下の対処法があります。
Bluekeepのセキュリティパッチは既にMicrosoft社から提供されています。セキュリティパッチは有効な対処法ですので速やかにWindowsの更新プログラムを最新バージョンにアップデートされることをおすすめします。セキュリティ更新プログラムは以下のリンクで配布されています。
参照:Microsoft社ホームページ「CVE-2019-0708 のユーザー向けガイダンス | リモート デスクトップ サービスのリモートでコードが実行される脆弱性:2019年5月15日」
Bluekeepは前述の通り、RDSに存在する脆弱性のため、RDS自体を無効化した場合は被害の予防が期待できます。ただし、RDSは便利な機能であるため無効化した場合は操作・業務に支障が出る場合があります。よって、セキュリティ更新プログラム適用を優先して実行することをおすすめします。
RDSはリモートデスクトッププロトコル(RDP)を使用して通信を行います。RDPはデフォルトではポート番号「3389」に設定されています。攻撃者はRDSポートを3389に指定して攻撃を行うことが予想されるため、ポート3389への外部アクセスをファイアーウォール等で遮断することも一つの対処法となります。ただし、攻撃者が遮断プログラムを回避した場合や内部ネットワークからのアクセスの場合、この対処法では効果が見込めなくなりますので、あくまで最新のセキュリティ更新プログラムを適用した上で対処することをおすすめします。
サイバー攻撃被害は事前対策は最も重要ですが、攻撃パターンは予測し難く被害を完全に防ぐことは至難の業です。万一、サイバー攻撃によりデータが消去されたり破損した場合、専門技術によるデータ復旧サービスのご利用をご検討ください。弊社ではパソコン・サーバーなどあらゆる端末のデータ復元技術を保有しており、専門技術者が対処します。セキュリティ対策やデータ復旧サービスをご検討されている方はお気軽にお問い合わせください。