ランサムウェア侵入経路
令和7年9月
に警察庁サイバー警察局が公表した「令和7年上半期におけるサイバー空間をめぐる脅威の情勢等について 」※1によると、ランサムウェア被害につながった侵入経路として、『VPN やリモートデスクトップ用の機器からの侵入が、全体の感染経路の8割以上を占める状況』とあります。
※1: 警察庁、令和7年上半期におけるサイバー空間をめぐる脅威の情勢等について
リモートデスクトップは、オフィスのPCへ簡単手軽にどこからでもアクセスできる便利な仕組みなので、リモートワークで現在でも多用されている現実がありそうです。
このようなリモートワーク環境を狙った攻撃として、『ブルートフォース攻撃(総当たり攻撃)や過去に漏えいしたアカウント情報を悪用』し、『 VPN 機器やリモートデスクトップを介し社内システムへ侵入し不正アクセスを行う』といった手口がIPAからも報告されています。※2
※2IPA:情報セキュリティ10大脅威 2025 [組織編]
リモートデスクトップ不正アクセスを観測してみる
今回は、実際にRDPポートを開放していたパソコンが、わずか数時間のうちにどのような攻撃を受けたのか、その生々しいログデータをみながら分析していきたいと思います。
リモートデスクトップへの不正アクセスの状況を確認するため、プライベートネットワーク内に設置したWindows11端末へ、外部インターネットからリモートデスクトップによるアクセスができるように、インターネットとの境界ファイヤーウォールで接続を許可した状態にし、インターネットからのアクセスログを観測しました。
観測結果
次の図は、LAN内のリモートデスクトップPCへインターネットからのアクセス試行回数を5分間隔でグラフ化しています。
観測は7時から20時までの約8時間実施。
開始から約8時間後の、14時50分ごろに1回目のログイン試行を観測。
わずか5時間で7,795回:攻撃の熱量と手法の変化
観測されたデータによると、14時台の最初の接触から通信を遮断した20時過ぎまでの約5時間で、合計7,795回ものRDPログイン試行が行われました。
これは1時間あたり平均1,500回以上、ピーク時には1分間に40回という猛烈なペースです。
グラフから読み取れる活動のフェーズ
- 14:00 - 15:15:静伏期(偵察段階)
- 14時台に1回、15時直後に3回と、試行回数は極めて少数です。
- 攻撃者はこの段階で、ターゲットが応答するか、どのようなOSで動いているかなどを確認する「偵察行為」を行っていたと考えられます。
- 15:15 - 17:30:第一波(攻撃開始)
- 15:15過ぎから、5分間に約80回前後の安定したペースで攻撃が開始されました。
- これは自動化されたボットによる、検知を避けつつ効率的にパスワードを試す低速な総当たり攻撃です。
- 17:30 - 20:30:第二波(攻撃の激化・バースト)
- 17:30頃から攻撃回数は一気に加速し、5分間に約170回〜200回の高頻度へ推移しました。
- ターゲットが「攻略の価値あり」と判断され、攻撃リソースが追加投入された、いわゆる「ロックオン」の状態です。
リモートデスクトップの危険性
攻撃の継続性と執着
グラフの右端(20:00以降)を見ても勢いが衰えておらず、むしろ微増傾向にあります。
これは、攻撃者が「成功するまで自動で回し続ける」設定にしていることを示しており、放置すればいずれ突破されるのは時間の問題という非常に危険な状態です。
ブルートフォース(総当り攻撃)の典型的なパターン
RDP(3389番ポート)への攻撃は、一度ターゲットを見つけるとこのように波状攻撃を仕掛けるのが特徴です。
15:15から20:30まで休むことなく一定以上の負荷をかけ続けている点は、人間による手動操作ではなく、完全に自動化された攻撃インフラによるものです。
サーバーへの負荷リスク
単に侵入のリスクだけでなく、5分間に200回(1分間に40回)ものログイン試行が継続することで、サーバーのCPUリソース消費や、ログファイルの肥大化といった可用性への悪影響も懸念されます。
グラフの推移を見ると、攻撃の勢いは20時を過ぎても衰えていません。
次回
今回の観測結果をさらに深堀し、攻撃者側の動きを分析してみたいと思います。
