データ復旧センターは高度な復元技術が特長の復元サービス事業者です。あらゆる端末障害の回復・救出に対応。
データ復旧センター
相談窓口(技術部直通):050-5360-2062
受付時間:9:00~22:00(不定休)

Windowsの脆弱性”Bluekeep”への対処をおすすめします

セキュリティ対策

bluekeep

 

Windowsには「Bluekeep」と呼ばれる深刻な脆弱性があります。この脆弱性は2019年5月にマイクロソフト社よりリリースされ、脅威度の高い深刻な脆弱性です。脆弱性のCVEコードは「CVE-2019-0708」で、以下のWindowsバージョンに存在する脆弱性です。

  • Windows XP
  • Windows Vista
  • Windows 7
  • Windows Server 2003
  • Windows Server 2008
  • Windows Server 2008 R2

マイクロソフト社はこの脆弱性を深刻な被害をもたらす可能性があると考えている模様であり、既に更新サポートを終了しているWindows XPなどの古いバージョンでもセキュリティ更新プログラムをリリースするなど異例の対応を取っています。

古いバージョンとはいえ、これらのWindowバージョンは未だに企業・個人用途ともに利用されているものであり対策が必須となります。

現在のところ、このBluekeepを利用したランサムウェアなどの大規模サイバー攻撃は発生していない模様ですが、今後発生する可能性のあるものであり情報資産の保護のために予め対処をする必要があります。

参照:Microsoft社ホームページ「CVE-2019-0708 | Remote Desktop Services Remote Code Execution Vulnerability

Bluekeepとは?

BluekeepはWindowsの機能である「リモートデスクトップサービス(RDS)」に関する脆弱性です。RDSはその名の通り、Windowを遠隔操作することが可能な機能であり、リモート操作によりデータアクセス・アプリ実行ができます。

Bluekeepにより攻撃者はランサムウェアなどの悪意あるプログラムを対象パソコンやサーバーに送り込むことが可能となる危険性が高まります。

攻撃された場合の予想される影響

Bluekeepにより攻撃された場合の予想される影響としては、ランサムウェアによる保存データの破損やワーム攻撃(同一ネットワーク内にある他のサーバー等への感染拡大)に遭う恐れがあります。昨今、ランサムウェアの攻撃被害は重大なものであり、データ復旧が非常に難易度が高く攻撃の深刻度は深いものとなります。

攻撃の手法

Bluekeepを利用した攻撃手法は次のようなスキームが考えられます。

  1. 攻撃者はRDSから対象PC・サーバーにアクセスする
  2. アクセスされたPC・サーバーは接続を確立するためにチャンネルを作成する
  3. 攻撃者はユーザー認証の前にチャンネルに攻撃用データを送り込む
  4. Bluekeepによりサーバー側でチャンネルが適切に閉じられなくなり、チャンネル使用のためのメモリが解放された状態となる
  5. 攻撃者は解放されたメモリを利用しサーバーに接続、管理者権限を奪取し不正操作が可能となる

この脆弱性のポイントは上記3.であり、ユーザー認証前に攻撃用データが送信されることがセキュリティ上非常にまずい状況です。ユーザー認証前なので攻撃者はサーバーアクセス用のアカウントIDやパスワードを知る必要が無く、RDSアクセス用のポート番号が知られてしまうと攻撃の可能性が高くなります。

被害防止のための対処法

Bluekeepによる被害を防ぐための対策としては以下の対処法があります。

最新のセキュリティ更新プログラムを適用する

Bluekeepのセキュリティパッチは既にMicrosoft社から提供されています。セキュリティパッチは有効な対処法ですので速やかにWindowsの更新プログラムを最新バージョンにアップデートされることをおすすめします。セキュリティ更新プログラムは以下のリンクで配布されています。

参照:Microsoft社ホームページ「CVE-2019-0708 のユーザー向けガイダンス | リモート デスクトップ サービスのリモートでコードが実行される脆弱性:2019年5月15日

RDSを無効化する

Bluekeepは前述の通り、RDSに存在する脆弱性のため、RDS自体を無効化した場合は被害の予防が期待できます。ただし、RDSは便利な機能であるため無効化した場合は操作・業務に支障が出る場合があります。よって、セキュリティ更新プログラム適用を優先して実行することをおすすめします。

RDPデフォルトポートを遮断する

RDSはリモートデスクトッププロトコル(RDP)を使用して通信を行います。RDPはデフォルトではポート番号「3389」に設定されています。攻撃者はRDSポートを3389に指定して攻撃を行うことが予想されるため、ポート3389への外部アクセスをファイアーウォール等で遮断することも一つの対処法となります。ただし、攻撃者が遮断プログラムを回避した場合や内部ネットワークからのアクセスの場合、この対処法では効果が見込めなくなりますので、あくまで最新のセキュリティ更新プログラムを適用した上で対処することをおすすめします。

データ損害が発生した場合はデータ復旧サービスをご検討ください

サイバー攻撃被害は事前対策は最も重要ですが、攻撃パターンは予測し難く被害を完全に防ぐことは至難の業です。万一、サイバー攻撃によりデータが消去されたり破損した場合、専門技術によるデータ復旧サービスのご利用をご検討ください。弊社ではパソコン・サーバーなどあらゆる端末のデータ復元技術を保有しており、専門技術者が対処します。セキュリティ対策やデータ復旧サービスをご検討されている方はお気軽にお問い合わせください。

お問い合わせ