携帯電話網に接続するSIM(Subscriber Identity Module)*1を搭載したパソコンを悪用して、ランサムウエアに感染させる攻撃が国内で複数見つかった。攻撃に使用されたのは、離れた場所にあるサーバーやパソコンを操作する通信プロトコルであるRDP(Remote Desktop Protocol)だ。
どうやってサイバー攻撃者はRDPを悪用したのか。専門家の調査によって、国内企業がSIM搭載パソコンを無防備なまま運用している実態が明らかになった。
国内11万台がRDPを公開
医薬品や医療機器の販売を手掛けるほくやく・竹山ホールディングスは2024年2月、社内のサーバーの一部がランサムウエアに感染する被害に遭った。調査の結果、攻撃者はSIMカードを搭載したノートパソコンをRDP接続で不正に操作し、サーバーのデータをランサムウエア「Enmity」で暗号化させたことが分かった。SIM搭載パソコンのRDPを悪用したランサムウエア被害は、食品商社の石光商事でも2024年9月に発生している。
国内のサイバー攻撃を調査するマクニカの瀬治山豊セキュリティ研究センターセンター長補佐は「公表された2つの事例は氷山の一角であり、非公開の事例を複数把握している」と話す。SIM搭載パソコンのRDPを狙ったランサムウエア攻撃は2023年から急増しているともする。
図1を見ると、無防備な状態でRDPが稼働しているSIM搭載パソコンが多いことが分かるだろう。これは、瀬治山センター長補佐がRDPの接続を許可していると見られるパソコンのIP(Internet Protocol)アドレスにアクセスしたときに表示された画面を集めたものである。
パソコンの使用者と見られる顔写真とフルネームが表示されている。個人情報が垂れ流しにされた状態だ。
瀬治山センター長補佐が2024年11月にインターネットを調査したところ、国内でRDPが外部からアクセス可能な機器が約11万台見つかったという。このうち、企業利用と見られる機器は7000台以上だった。国内のグローバルIPアドレスを割り当てた機器で、RDPで使うポート番号(3389)へのアクセスを受け付けているかどうかで判断した。
また2024年10月24日の調査でRDPにアクセス可能なSIM搭載パソコンは約1万1700台見つかった。2022年9月27日時点の調査では約5200台だったので、約2年間で倍増した計算だ。
