none
アカウント名が漏えいする脆弱性はありますか? RRS feed

  • 質問

  • Windows Server 2008 R2でWebサイトを運営しています。

    RDPに、ときおりブルートフォース攻撃があります(いくつか理由がありまして、接続元IPアドレスをあまり制限していません)。

    普段は、「Administrator」とか「Oracle」とか、ありそうなアカウント名でログオンを試行されているのですが、先日実在するアカウント名でログオンを試行されることがありました。

    このアカウント名は、辞書に載るような単語でも、個人名に由来するものでもありません。ある固有名詞に由来するもので、たぶんに推測は難しいです。

    IISやRDPから、アカウント名が漏えいするような脆弱性が、かつてありましたでしょうか?

    2016年5月18日 0:30

回答

  • チャブーンです。

    この件ですが、自分が使うアカウント名がどうして知れたのか?について、調べること自体、あまり意味がないと思います。攻撃用リストというものは常に更新されており、「質問者さんのシステムから情報が引き抜かれた」ことを証明しようとすることは事実上ムリです。システム自体はよくわからないのですが、RDP通信自体は暗号化されているのでそれ自体は問題ないでしょうが、「OSの脆弱性」は多岐にわたりますので、それらを事前予測する、などということはできません。

    それより心配なのは、「インターネット上からRDPにスキャンが行われている」というネットワーク上の問題です。これは南京錠をかけた箱を路上に置いておくようなもので、セキュリティ構成上大変危険です。VPN経由、あるいはリモートデスクトップゲートウェイといったネットワークセキュリティを確保した状態で利用されることを強くお奨めします。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答の候補に設定 佐伯玲 2016年5月19日 1:27
    • 回答としてマーク Sengoku 2016年5月20日 8:26
    2016年5月18日 1:56
    モデレータ
  • RDPというのはリモートデスクトップセッションホスト(RDS)サーバーでしょうか。

    脆弱性という意味では、こういうのがあります。
    「IIS 脆弱性」とかで検索すると、対策済みのものがたくさん出てくると思います。

    更新:Microsoft 製品の脆弱性対策について(2015年4月)
    https://www.ipa.go.jp/security/ciadr/vul/20150415-ms.html

    任意のコードが実行できるので、ドメインに参加していたりすると、このサーバーに権限次第では
    アカウントの情報はとり放題でしょう。

    また一般的な話になりますが、

    ・IISでデータベースを使うフォームコントロールがあり、そこからSQLインジェクションでデータベースの情報がとられた
    ・すでに適当なアカウントでログオンが成功してしまい、そのアカウント経由で別の[管理者っぽいアカウント」に対して攻撃が始まった

    といった経路も考えられます。
    • 回答の候補に設定 佐伯玲 2016年5月19日 1:27
    • 回答としてマーク Sengoku 2016年5月20日 8:26
    2016年5月18日 2:00
  • NLA のみ有効、にしてないとか…?
    • 回答としてマーク Sengoku 2016年5月23日 0:48
    2016年5月20日 8:50

すべての返信

  • チャブーンです。

    この件ですが、自分が使うアカウント名がどうして知れたのか?について、調べること自体、あまり意味がないと思います。攻撃用リストというものは常に更新されており、「質問者さんのシステムから情報が引き抜かれた」ことを証明しようとすることは事実上ムリです。システム自体はよくわからないのですが、RDP通信自体は暗号化されているのでそれ自体は問題ないでしょうが、「OSの脆弱性」は多岐にわたりますので、それらを事前予測する、などということはできません。

    それより心配なのは、「インターネット上からRDPにスキャンが行われている」というネットワーク上の問題です。これは南京錠をかけた箱を路上に置いておくようなもので、セキュリティ構成上大変危険です。VPN経由、あるいはリモートデスクトップゲートウェイといったネットワークセキュリティを確保した状態で利用されることを強くお奨めします。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答の候補に設定 佐伯玲 2016年5月19日 1:27
    • 回答としてマーク Sengoku 2016年5月20日 8:26
    2016年5月18日 1:56
    モデレータ
  • RDPというのはリモートデスクトップセッションホスト(RDS)サーバーでしょうか。

    脆弱性という意味では、こういうのがあります。
    「IIS 脆弱性」とかで検索すると、対策済みのものがたくさん出てくると思います。

    更新:Microsoft 製品の脆弱性対策について(2015年4月)
    https://www.ipa.go.jp/security/ciadr/vul/20150415-ms.html

    任意のコードが実行できるので、ドメインに参加していたりすると、このサーバーに権限次第では
    アカウントの情報はとり放題でしょう。

    また一般的な話になりますが、

    ・IISでデータベースを使うフォームコントロールがあり、そこからSQLインジェクションでデータベースの情報がとられた
    ・すでに適当なアカウントでログオンが成功してしまい、そのアカウント経由で別の[管理者っぽいアカウント」に対して攻撃が始まった

    といった経路も考えられます。
    • 回答の候補に設定 佐伯玲 2016年5月19日 1:27
    • 回答としてマーク Sengoku 2016年5月20日 8:26
    2016年5月18日 2:00
  • チャプーンさん、やきさん、返信ありがとうございます。

    お二方の返信内容を見る限り、何もしなくてもアカウント名が漏えいするような脆弱性が、過去に存在した?知られている?わけではなさそうですね。

    (remote exploitやらなんやら、他の脆弱性からアカウント名を取得する手段はあるとは思います)。

    こちら方向の心配はやめることにします。

    2016年5月20日 8:18
  • NLA のみ有効、にしてないとか…?
    • 回答としてマーク Sengoku 2016年5月23日 0:48
    2016年5月20日 8:50
  • 返信ありがとうございます。

    当該サーバを見直したところ、ネットワークレベル認証が無効になっていました。

    # ヒヤヒヤものです汗

    原因はこれですね。納得しました。

    ちなみにですが、ブルートフォースをしてきたクライアントソフトはFreeRDPでした。



    • 編集済み Sengoku 2016年5月23日 0:52
    2016年5月23日 0:51
  • やきです。

    ちなみにNLAを無効にしていると、クライアント側ではアタックの検出ができないケースがあります(クライアントにアクセスが入る前に拒否されるため)。

    監査はドメインコントローラーでも実施することをお勧めします。検証はしていませんが「アカウント ログオンの監査」で有効になるとおみます。実施すると設定を上書きしてしまい、ポリシーを消しても元に戻らないので、事前にポリシーのバックアップを取るようにしてください。

    ログオン失敗イベント 4625 出力条件
    https://social.technet.microsoft.com/Forums/ja-JP/e62f6ad7-5c2a-4c0d-af00-79554e042018/-4625-?forum=windowsserver2008ja

    イベントビューアーでセキュリティ監査を行うためのグループポリシー設定
    http://www.atmarkit.co.jp/ait/articles/1507/21/news139.html

    2016年5月23日 1:40