So-net無料ブログ作成
  • ブログをはじめる
  • ログイン

リモートデスクトップ経由で感染を広げる新手のウイルス「Morto」出現 [ウィルス/不正アクセス]

 Windowsのリモートデスクトップ接続を悪用して拡散する新手のウイルス(ワーム)が出現したとして、セキュリティベンダーなどが注意を呼び掛けている。

 ウイルスは、いろいろな感染経路を使って感染を広げようとする。狭義の「ウイルス」が使うファイル感染はじめ、メールやWebサイト、Windows共有、USBメモリーなど、さまざまな経路が使われてきたが、リモートデスクトップ接続を悪用するタイプは、これが初めてかもしれない。

■リモートデスクトップ経由で感染を広げる「Morto」

 リモートデスクトップ接続は、外部からWindowsパソコンのデスクトップに接続し、ローカルのパソコンと同じ様に操作できるようにするWindowsの機能のひとつ。「Morto」などの名で呼ばれる今回見つかったウイルスは、このデスクトップ接続が有効なパソコンを探し、「admin」や「owner」などのユーザー名と、「12345678」や「password」などの安易なパスワードの組み合わせを試行。ログインに成功すると、今度はWindowsのファイル共有を使って接続したパソコンに自身をコピーし、感染を広げていく。
 マイクロソフトのMalware Protection Centerによると、感染活動以外のMortoの活動には、追加コンポーネントのダウンロードやDoS攻撃、セキュリティソフトの停止などがあるという。

■3389ポートのトラフィックが増加

 Windowsのリモートデスクトップ接続には「RDP」(Remote Desktop Protocol)というプロトコルが使われており、接続を許可したパソコンは通信ポートの3389番を開いて待機する。ワームがリモートデスクトップ経由で感染を試みる際には、この3389ポートへのトラフィックが発生する。
 トラフィックの観測を行なっているJPCERT/CCやSANS/ISCの定点観測システムのデータを見ると、トラフィック全体に占める3389ポートの割合はそれほど多くはないものの、今月に入ってから増加している様子が窺える。直接の原因は不明だが、Mortoの感染活動と関係しているのかもしれない。

【リモートデスクトップ経由の感染防止策】

 リモートデスクトップ経由でMortoに感染してしまう条件は、(1)リモートデスクトップ接続が有効で、(2)Mortoが想定する安易なパスワードが設定されたアカウントがあり、(3)ファイアウォールがない、またはRDPが通過してしまう場合だ。したがって、これら条件を満たさないようにすることが、リモートデスクトップ経由のMorto感染防止策となる。

(1)リモートデスクトップ接続を無効に
 コントロールパネルの「システム」を開き、Vista/7の場合はさらに「リモートの設定」を開く。「リモート」タブに「リモートデスクトップ」という項目がない場合は、機能がインストールされていないのでリモートデスクトップは利用できない。ある場合は、「このコンピュータにユーザーがリモートで接続することを許可する」のチェックが外れていれば、リモートデスクトップ接続は無効だ。

(2)堅牢なパスワードを使用する
 リモートデスクトップが有効の場合には、リモートユーザーとして選択されているアカウントでリモートデスクトップ接続が可能になる。このアカウントに安易なパスワードが設定されていると、簡単に侵入されてしまう。リモートデスクトップに限ったことではないが、パスワードを破って侵入しようとする相手には、破られにくい堅牢なパスワードを設定して対処する。リモートデスクトップ接続を利用する方は、これが最善の感染防止策だ。
 堅牢なパスワードは、推測されやすい単語を避け、いろいろな文字種を組み合わせた長いパスワードだが、詳しくは下記マイクロソフトの「セーフティとセキュリティセンター」の「オンラインでのプライバシーとセーフティ」を参照していただきたい。このページでは、強力なパスワードの作り方と作成したパスワードの強度チェックも行える。
 なお、家庭ではWindowsをパスワードなしで使用している方も多いだろう。パスワードなしのWindowsは、直接なら誰でも操作できてしまうという問題はあるが、リモートデスクトップ接続に関しては安心してよい。パスワードの設定されていないアカウントはリモートデスクトップ接続に利用できないのだ。

(3)ファイアウォールを有効に
 Windowsに附属する「Windowsファイアウォール」を有効にすると、外部からの接続は原則全てブロックするようになる。パソコンを直接インターネット回線に接続する際には、必須の機能だ。外部から接続させたい場合には、必要に応じて自動または手動で必要なポートを開くのだが、リモートデスクトップ接続の場合は、インストールされるとシステムが接続ポートを開くようにファイアウォールを設定する。ファイアウォールの設定で、該当するサービスを無効にすれば、サービスが動いていても外部から接続することはできなくなる。
 ルーター機能を備えた無線LANのアクセスポイントなどを介してインターネットに接続している場合は、インターネットとローカルネットワークの間で、ルーターが同じような役割を果たしている。特に設定しない限り、インターネット側からは接続はできないので、インターネット側から接続して来る攻撃は回避できる。

(2011/08/30 セキュリティ通信)

【関連URL】
・Windowsリモートデスクトップワーム「Morto」が拡散(エフセキュアブログ)
http://blog.f-secure.jp/archives/50625847.html
・New worm targeting weak passwords on Remote Desktop connections (port 3389)[英文](Microsoft Malware Protection Center)
http://blogs.technet.com/b/mmpc/archive/2011/08/28/new-worm-targeting-weak-passwords-on-remote-desktop-connections-port-3389.aspx
・Internet Worm in the Wild[英文](SANS Institute)
http://isc.sans.edu/diary/11470
・JPCERT/CCの定点観測グラフ
https://www.jpcert.or.jp/isdas/graphL.html#link_rdp
・SANS/ISCの定点観測グラフ[英文]
https://isc.sans.edu/port.html?port=3389
・セーフティとセキュリティセンター:オンラインでのプライバシーとセーフティ(マイクロソフト)
http://www.microsoft.com/ja-jp/security/online-privacy/default.aspx