Microsoft RDPの認証サーバー狙うスキャン活動が急増

Microsoft RDPの認証サーバー狙うスキャン活動が急増

BleepingComputer – August 25, 2025

マイクロソフトのリモート デスクトップ Web アクセスおよびリモート デスクトップ Web クライアントの認証ポータルを同時に調査するスキャン活動が、8月21日から急増したことをGreyNoiseが報告。通常このようなスキャンを実施するIPアドレスは1日に3〜5件ほどしか観測されないが、21日には1,971件近く、また24日には30,000件以上観測され、組織的な偵察キャンペーンの兆候を示していたという。

GreyNoiseによれば、1,971件のIPのうち、1,851件が同一のクライアントシグネチャを共有。このため今回のスキャンは、単一のボットネットまたはツールセットにより実施された可能性があるとされる。またこのうち92%ほどは、すでに悪意あるアドレスとしてフラグが立てられていたものだったという。その多くはブラジルのアドレスだった一方、標的となったのは米国のIPアドレス。また24日に観測されたIPの大半も、クライアントシグネチャが21日のものと同じだった。

これらのスキャン行為は、タイミング攻撃に使える欠陥を探るテストだったとGreyNoiseは指摘。タイミング攻撃とは、システムやリクエストの応答時間から機微な情報を暴き出すというものだが、今回のケースでは、RDPへ有効なユーザーがログインしようとした場合と無効なユーザーがログインしようとした場合の応答時間のわずかな違いからユーザー名の正誤を推測しようとするものだった。攻撃者はこれを利用することで、ユーザー名を検証し、将来のブルートフォース攻撃やパスワードスプレー攻撃の準備をすることができる。

GreyNoiseはまた、この時期にスキャン活動が急増したのは偶然ではないと主張。8月21日といえば米国の学校で新学期が始まるタイミングと一致している。つまり、多くの大学や小中高校がRDP対応のラボやリモートアクセスをオンラインに戻し、多数の新規アカウントを登録し始める時期。こうした環境では予測可能なユーザー名形式（学生ID、姓名の組み合わせなど）が多用されるため、今回のようなスキャン行為がより効果的になるとのこと。

【無料配布中レポート】

各種レポートを無料配布中！バナー画像よりダウンロード可能です。

レポート『デジタル時代における世界の紛争 – 地政学情勢はサイバー作戦へどう影響を及ぼしているのか』

ランサムウェアレポート：『2024 Ransomware? What Ransomware?』

インテリジェンス要件定義に関するガイドブック：『要件主導型インテリジェンスプログラムの構築方法』