遠隔操作ウイルス事件予備群。3389ポートに対する攻撃数が増加。一IP、15.6件/日

遠隔操作ウイルス事件に使われたようなソフトが、あなたのPCにすでにインストールされていると言ったら驚くだろうか?
それは最初からインストールされていて、設定によっては、簡単にあなたのPCを遠隔コントロールすることが可能なのである。
その名は「RDP:リモートデスクトップ」。
本来は、自分や勤めている会社のPCを遠隔操作するためのソフトだ。

PCの遠隔操作プログラムといえば何か難しそうに聞こえるが、実はPCに最初から入っていて、アクセサリー(電卓とかメモ帳といっしょ)の通信にそのクライアントが存在する。但しWindows Pro以上だが。

通常、リモートデスクトップはOFFになっているので不正アクセスの可能性は低い。
しかし、これを利用していたり、間違えて起動している場合や、ウィルスがこの機能を勝手にONにする可能性もある。
世界には沢山のPCが存在しているので、例え全体の1%未満だとしても莫大の数のPCでリモートデスクトップが動いていることになる。

ネットを通してコンピュータにアクセスする場合には、コンピュータの住所を示すIPアドレスとルームナンバーを示すポート番号を利用する。
ポート番号は、コンピュータが提供するサービス毎に割り振られていて、たとえばWEBサイトなら80番などと大体は決まっている。
攻撃されることが多くなっている3389ポートというのが、このリモートデスクトップのポート番号だ。

警察庁の以下の資料によると、最近はその3389ポートに対するアクセス数(攻撃数 正規の利用者以外は3389ポートにアクセスする理由はない)が増えていることが示されている。
そして、国別で見ると中国からのアクセスが最も多い。
警察庁発表資料
http://www.npa.go.jp/cyberpolice/detect/pdf/H24_nenpo.pdf
別冊資料
http://www.npa.go.jp/cyberpolice/detect/pdf/H24_betsu.pdf

もし、リモートデスクトップに不正アクセスできれば、そのPCでできることが殆どすべて可能となるのだから、ここを攻めるのは当たり前である。
適当なIPアドレスの3389ポートをスキャンしてリモートデスクトップが起動していることが分かると、次は自動パスワード入力プログラムでパスワードのクラックの工程に移行する。
うまくクラックできれば、遠隔操作可能なPCとして、クラッカーに登録されることになる。
これらの手順を、適当なプログラムで自動的に行い、大量のPCを調査して、踏み台に使えるPCを集めるのである。

そして、国家的意思をもった破壊者の場合は、世界中で集めたPCを多重で結合してインフラシステムの破壊を行ったり、企業の機密情報に不正アクセスするだろう。ねこで苦労した警察も、この手で来られたらなかなか対応が難しいのではないだろうか。
少なくてもノマネコの恨みとか、そんな変な目的ではないのに違いないから、実体が湘南に来て、カメラに映らないだろうし。

このように、リモートデスクトップは便利なソフトであるが、クラックされると完全に乗っ取られてしまうので注意が必要だ。
もし利用している場合、予めポート番号を変更しておくくらいはやっておいた方がいい。

ポート番号の範囲は1~65535なので、3389を34832とかそれなりに大きな適当な数に変更するのがお勧めである。
レジストリエディタ等を使って、
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-TcpPortNumber
初期値:3389(10進数)を任意の番号に書き換えてしまえばOKだ。

意外と単純な手法で、それなりのハッキングができるようになっているので、こまったものなのである。
しかし、ポート番号変えるなど、ちょっと対応するだけでハッキングしにくくできるのも確かだ。