Microsoft RDPの認証サーバー狙うスキャン活動が急増

Microsoft RDPの認証サーバー狙うスキャン活動が急増

BleepingComputer – August 25, 2025

マイクロソフトのリモート デスクトップ Web アクセスおよびリモート デスクトップ Web クライアントの認証ポータルを同時に調査するスキャン活動が、8月21日から急増したことをGreyNoiseが報告。通常このようなスキャンを実施するIPアドレスは1日に3〜5件ほどしか観測されないが、21日には1,971件近く、また24日には30,000件以上観測され、組織的な偵察キャンペーンの兆候を示していたという。

GreyNoiseによれば、1,971件のIPのうち、1,851件が同一のクライアントシグネチャを共有。このため今回のスキャンは、単一のボットネットまたはツールセットにより実施された可能性があるとされる。またこのうち92%ほどは、すでに悪意あるアドレスとしてフラグが立てられていたものだったという。その多くはブラジルのアドレスだった一方、標的となったのは米国のIPアドレス。また24日に観測されたIPの大半も、クライアントシグネチャが21日のものと同じだった。

これらのスキャン行為は、タイミング攻撃に使える欠陥を探るテストだったとGreyNoiseは指摘。タイミング攻撃とは、システムやリクエストの応答時間から機微な情報を暴き出すというものだが、今回のケースでは、RDPへ有効なユーザーがログインしようとした場合と無効なユーザーがログインしようとした場合の応答時間のわずかな違いからユーザー名の正誤を推測しようとするものだった。攻撃者はこれを利用することで、ユーザー名を検証し、将来のブルートフォース攻撃やパスワードスプレー攻撃の準備をすることができる。

GreyNoiseはまた、この時期にスキャン活動が急増したのは偶然ではないと主張。8月21日といえば米国の学校で新学期が始まるタイミングと一致している。つまり、多くの大学や小中高校がRDP対応のラボやリモートアクセスをオンラインに戻し、多数の新規アカウントを登録し始める時期。こうした環境では予測可能なユーザー名形式（学生ID、姓名の組み合わせなど）が多用されるため、今回のようなスキャン行為がより効果的になるとのこと。

【無料配布中！】インテリジェンス要件定義ガイド

インテリジェンス要件定義に関するガイドブック：『要件主導型インテリジェンスプログラムの構築方法』

以下のバナーより、優先的インテリジェンス要件（PIR）を中心とした効果的なインテリジェンスプログラムを確立するためのポイントなどを解説したSilobreaker社のガイドブック『要件主導型インテリジェンスプログラムの構築方法』の日本語訳バージョンを無料でダウンロードいただけます。

＜ガイドブックの主なトピック＞

本ガイドブックでは、優先的インテリジェンス要件（PIR）の策定にあたって検討すべき点と、PIRをステークホルダーのニーズに沿ったものにするために考慮すべき点について詳しく解説しています。具体的には、以下のトピックを取り上げます。

• 脅威プロファイルの確立
• ステークホルダーの特定・分析
• ユースケースの確立
• 要件の定義と管理
• データの収集と処理
• 分析と生産
• 報告
• フィードバック
• 実効性の評価