2017/05/08 RDPパスワード総当たり攻撃型ランサムウェア被害遭遇まとめ

2017年5月19日Security (セキュリティー)

RDP (リモート・デスクトップ・プロトコル) 攻撃型ランサムウェア感染被害対策まとめ

無断転載禁止

2017年05月08日、私は、 PC の中のファイルを勝手に暗号化するランサムウェアの被害に遭いました。
他の人々が同じ被害に遭わないように、自分の体験談をまとめることにしました。

目次

このウェブページで使われている用語の説明
ノート PC私が所有しているノート PC
ランサムウェアの被害に遭った PC
パスワード総当り攻撃ブルートフォース アタック。 Brute-force attack
ポート番号3389WindowsPC の機能「リモート デスクトップ接続」 (Remote Desktop Connection) が使用する「リモート デスクトップ プロトコル」 (Remote Desktop Protocol(RDP)) の標準ポート番号
ランサムウェア身代金要求型不正プログラム。 Ransomware
端末内のデータを勝手に暗号化し、復号には対価を要求される。

概要

私がランサムウェアの感染被害に遭ったのは、ポート番号3389 総当り攻撃型ランサムウェアです。

より詳しく書くと、 「Windows」の機能「リモート デスクトップ接続」が使用するポート番号 [3389] を狙ったパスワード総当り攻撃によるランサムウェアの感染被害です。

自分としては、セキュリティ対策はしっかりやっていたつもりだったんです。

そのときの PC 環境

  • OS は、「Windows 7 Professional Service Pack 1」を使用していた
  • Windows Update」は、先月分 (2017年04月) の更新プログラムまで適用していた
  • ファイアウォールは、「Windows」の機能「セキュリティが強化された Windows ファイアウォール」を使用していた
  • ウイルス対策ソフトウェアは、「Microsoft Security Essentials」を実行していた
  • ウイルス対策ソフトウェアの機能「リアルタイム保護」は、「有効」にしていた
  • ルーターと PC は、有線 LAN ケーブルで接続していた
  • PC に、ワイヤレス ネットワーク機能 (無線 LAN 機能) はあったが、「OFF」にしていた
  • メールソフトは使用していなかった

そのときのルーター環境

  • ルーターは、「NEC Aterm WR8700N」を使用していた
  • IPv6 ブリッジ」機能は、「使用しない」に設定していた
  • PING 応答機能」は、チェックボックス「使用する」のチェックをはずしておいた
  • 無線 LAN 機能は、チェックボックス「使用する」をチェックはしていたが、全ての PC は有線 LAN ケーブルで接続していた
  • 無線 LAN 機能の「暗号化モード」は、「WPA/WPA2-PSK(AES)」を選択していた
  • 無線 LAN 機能の「暗号化モード」の「WPA 暗号化キー (PSK)」は、設定できる上限「63桁」にしていた (アルファベットの大文字・小文字・数字・記号を混合使用)
  • ESS-ID ステルス機能(SSID の隠蔽)」は、チェックボックス「使用する」をチェックしていた
  • MAC アドレスフィルタリング機能」は、チェックボックス「使用する」をチェックしていた
  • 無線 LAN 端末の MAC アドレスを登録し、登録した端末だけがルーターに接続できるようにしていた
  • 「パケットフィルタ設定」で自分で開けたポートは、ポート番号「80」だけだった
  • 不正パケットを廃棄する「セキュリティ保護機能」は、チェックボックス「使用する」をチェックしていた
  • IPsec パススルー機能」は、チェックボックス「使用する」のチェックをはずしておいた
  • 「メディアサーバ機能」は、チェックボックス「使用する」のチェックをはずしておいた
  • DMZ ホスト機能」は、チェックボックス「使用する」のチェックをはずしておいた
  • 「管理者パスワード」は、設定できる上限「64桁」に近い63桁にしていた (アルファベットの大文字・小文字・数字・記号を混合使用)

これだけのセキュリティ対策をしていても、ランサムウェア被害に遭うんです。


経緯

私が被害に遭ったランサムウェアの経緯は次のとおり。 (実は、私は、ランサムウェアの犯人グループから自分の PC が攻撃を受けていることに気づき、ネット上でバトルをしたんです。)

  1. 2017年05月07日の夜、私のノート PC に対し、「リモート デスクトップ プロトコル」の標準ポート番号3389でアクセスをしてくるロシアのドメイン「.ru」を、ネットワークモニターソフトウェア「TCP Monitor Plus」の画面上で発見した。

    その時に私が取った行動・思ったこと:
      私のノート PC に対して、他者がポート番号3389でアクセスしてくるなんておかしい。
      今度アクセスしてきたら、アク禁 (アクセス禁止) にしてやろう。

      ランサムウェアの犯人と私とのバトル開始。

  2. その IP アドレスを、「WindowsOS の機能「セキュリティが強化された Windows ファイアウォール」上でブロックする設定を実行した。

    その時に私が取った行動・思ったこと:
      一瞬現れてすぐに消える…が何回も繰り返された後、なんとか、 IP アドレスの特定に成功。
      ファイアウォール上で、ブロックする IP アドレスとして登録完了。

  3. ロシアのドメイン「.ru」や、オランダのドメイン「.nl」からのアクセスが続く。

  4. それらの IP アドレスを、ファイアウォール上でブロックする作業を3~4回繰り返す。

    その時に私が取った行動・思ったこと:
      しつこい。
      でも、もうそろそろ諦めるだろう。

  5. 2017年05月08日の午前01時過ぎころ、ノート PC を起動させたまま、メインのデスクトップ PC をスリープ状態にして睡眠。

    その時に私が取った行動・思ったこと:
      昨日まではデスクトップ PC の電源をつけっぱなしだったが、電気代がもったいないから、今日は電源落として寝ようっと。 (← この判断が思わぬ幸運をもたらすことに…)

  6. 「イベント ビューア」に残された記録によると、2017年05月08日の午前02時半ころ、 ノート PC の暗号化が行なわれたらしい。

  7. 2017年05月08日の午前05時台に目が覚めて、ノート PC がシャットダウンしているのを発見した。

    その時に私が取った行動・思ったこと:
      いつのまにか、ネットワークが切断されている。
      こういうときは、ルーターを再起動すれば直る…はず。
      ルーター再起動 → 直らない。

      ノート PC の状況を確認。
      なぜか、シャットダウンしている。

  8. ノート PC の電源を入れると、デスクトップ画面の異変に気付く。

  9. ランサムウェアの被害に遭ったことを確認。


被害

私が経験したランサムウェアの被害状況は次のとおり。

  1. ノート PC は起動させた状態だったのに、シャットダウンさせられていた

  2. ノート PC の中の一部のファイルが暗号化されていた

    暗号化された場所具体例
    C:\Users\「デスクトップ画面」上のショートカット
    C:\usr\自分がインストールした Perl 関連のファイル
    L:\USB フラッシュドライブ (USB メモリー) の中のファイルのうち、暗号化される瞬間に、 OS やプログラムなどによって使用されていなかったファイル
    暗号化されなかった場所具体例
    C:\Program Files\
    C:\Windows\
    L:\USB フラッシュドライブ (USB メモリー) の中のファイルのうち、暗号化される瞬間に、 OS やプログラムなどによって使用されていたファイル

  3. 暗号化されたファイルには、拡張子「.onion」が付いていた

  4. ノート PC の中に、次のファイル名のファイルが保存されていた

    -DECRYPT-MY-FILES.txt

  5. そのファイルを開くと、次のような文章が書かれていた

    注意事項

    • 下記の「●●●●●●●●●●●●●●●●」の部分には、本来、文字が入っていましたが、私が修正しました。

    *** ALL YOUR WORK AND PERSONAL FILES HAVE BEEN ENCRYPTED ***

    To decrypt your files you need to buy the special software. To recover data, follow the instructions!
    You can find out the details/ask questions in the chat:
    https://●●●●●●●●●●●●●●●●.onion.to (not need Tor)
    https://●●●●●●●●●●●●●●●●.onion.cab (not need Tor)
    https://●●●●●●●●●●●●●●●●.onion.nu (not need Tor)

    You ID: ●●●●●●●●●●

    If the resource is not available for a long time, install and use the Tor-browser:
    1. Run your Internet-browser
    2. Enter or copy the address https://www.torproject.org/download/downloadeasy.html in the address bar of your browser and press key ENTER
    3. On the site will be offered to download the Tor-browser, download and install it. Run.
    4. Connect with the button “Connect" (if you use the English version)
    5. After connection, the usual Tor-browser window will open
    6. Enter or copy the address http://.onion in the address bar of Tor-browser and press key ENTER
    7. Wait for the site to load

    If you have any problems installing or using, please visit the video tutorial
    https://www.youtube.com/watch?v=

    PC 内に残されていたテキストファイル「-DECRYPT-MY-FILES.txt」


選択肢

ランサムウェアの被害に遭った私の選択肢は次のとおり。

  1. Windows」の機能「システムの復元」を実行してみる

    その時に私が取った行動・思ったこと:
      やってみた。
      復号 (元のデータに復元) されなかった。

  2. 「ウイルス対策ソフト」や「セキュリティーソフト」等でウイルスやワーム等を駆除・除去する

    その時に私が取った行動・思ったこと:
      復号されるわけではない。
      犯行の手口や、復号する手がかりがわからなくなるおそれがある。

  3. ランサムウェア復号ツール等を使って、復号を試みる

    その時に私が取った行動・思ったこと:
      やってみた。
      復号されなかった。

  4. 相手に身代金を支払う

    その時に私が取った行動・思ったこと:
      お金だけ取られて、復号されないおそれがある。
      一度、遠隔操作された PC は、その後、安心して使うことができない。

  5. リカバリー (初期化)

    その時に私が取った行動・思ったこと:
      対策を施さなければ、同じ手口で再び暗号化されるおそれがある。

  6. そのまま使い続ける

    その時に私が取った行動・思ったこと:
      まだ暗号化されていないファイルが、今後、暗号化されるおそれがある。

対策

ランサムウェアの被害を受けた後に、私がしたことは次のとおり。 (一時的なものも含む。)

  1. ルーターのネットワークを全て切断する

    目的: 通信を遮断して、自らが管理をするネットワーク内へ他者が侵入することを防ぐこと
    期間: 対策が終了するまで
    対象: 自らが管理をする全てのルーター
    例) 「Aterm」 (NEC プラットフォームズ株式会社の製品) の場合
    手順:
    1. 設定画面 [クイック設定 Web] 起動
    2. トップページ [装置情報]
    3. ボタン [切断] クリック (全ての接続先を切断する)
    4. ボタン [最新状態に更新] クリック
  2. PC のネットワークを全て切断する

    目的: 通信を遮断して、自らが管理をするネットワーク内の他の機器へ被害が及ぶことを防ぐこと
    期間: 対策が終了するまで
    対象: 自らが管理をする全ての PC
    例) 「Windows 7」の場合
    手順:
    1. [ネットワークと共有センター]
    2. [切断] 又は [無効] 等 (全ての接続先を切断する。 OS によって切断方法が違う場合がある)
  3. PC のパスワードを変更する

    目的: 現在のパスワードを無効にして、自らが管理をする PC へ他者がログインすることを防ぐこと
    期間:
    対象: 自らが管理をする全ての PC
    例) 「Windows 7」の場合
    手順:
    1. キー [Ctrl] + キー [Alt] + キー [Del] 同時押し
    2. [パスワードの変更 (C)…]
    3. [古いパスワード]
    4. [****************************************************************] 入力
    5. [新しいパスワード]
    6. [****************************************************************] 入力 (← この文字列は自分が決める。127文字以内。最長の127文字が望ましい)
    7. [パスワードの確認入力]
    8. [****************************************************************] 入力
    9. ボタン [OK] クリック
  4. PC の機能「リモート デスクトップ接続」を無効にする

    目的: ネットワークを通じたログインを無効にして、自らが管理をする PC が他者に遠隔操作されることを防ぐこと
    期間: 対策が終了するまで
    対象: 自らが管理をする全ての PC
    例) 「Windows 7 Professional」の場合
    手順:
    1. ボタン [スタート] クリック
    2. メニュー [コントロール パネル] クリック
    3. [コントロール パネル\すべてのコントロール パネル項目]
    4. [システム] クリック
    5. 左ペイン [リモートの設定] クリック
    6. ダイアログ ボックス [システムのプロパティ]
    7. タブ [リモート]
    8. セクション [リモート デスクトップ]
    9. オプション [このコンピュータへの接続を許可しない(D)]
    10. ボタン [適用] クリック
    11. ボタン [OK] クリック
  5. PC の「リモート デスクトップ プロトコル」の標準ポート番号を変更する

    目的: 「Windows」の機能「リモート デスクトップ接続」の標準ポート番号 [3389] を無効にして、自らが管理をする PC へ同機能を使用して接続する際に、「コンピューター名」・「ユーザー名」・「パスワード」の入力に加えて、自分が決めた「新しいポート番号」の入力を強制して、パスワード総当たり攻撃を困難にすること
    期間:
    対象: 自らが管理をする全ての PC
    例) 「Windows 7 Professional」の場合
    手順:
    1. ボタン [スタート] クリック
    2. メニュー [ファイル名を指定して実行…] クリック
    3. ダイアログ ボックス [ファイル名を指定して実行]
    4. [名前(O):]
    5. [regedit] 入力
    6. ボタン [OK] クリック
    7. [レジストリ エディター]
    8. 左ペイン [HKEY_LOCAL_MACHINE] クリック
    9. 左ペイン [SYSTEM] クリック
    10. 左ペイン [CurrentControlSet] クリック
    11. 左ペイン [Control] クリック
    12. 左ペイン [Terminal Server] クリック
    13. 左ペイン [WinStations] クリック
    14. 左ペイン [RDP-Tcp] クリック
    15. 右ペイン [PortNumber] 右クリック
    16. コンテキスト メニュー [修正(M)…] クリック
    17. ダイアログ ボックス [DWORD (32 ビット) 値の編集]
    18. セクション [表記]
    19. オプション [10 進数(D)] 選択
    20. [値のデータ(V):]
    21. [?????] 入力 (← 自分が決めた新しいポート番号を入力する。通常は、49152~65535のいずれか。)
      解説
      「リモート デスクトップ プロトコル」のポート番号として使うべきでない数字 (ポートの目的が推測されやすい) :
      例) 3390, 13389, 23389, 33389, 43389, 53389, 63389
    22. ボタン [OK] クリック
    23. メニュー [ファイル(F)] クリック
    24. メニュー [レジストリ エディタの終了(X)] クリック
    25. PC を再起動する
      解説
      今後、自らが管理をする PC へ「リモート デスクトップ接続」機能を使用して接続する際には、 [コンピューター(C):] の所に [192.168.XXX.XXX:?????] のように入力して接続することになります。 ([?????] は、自分が決めた新しいポート番号)
  6. PC の「ファイアウォール」の設定を変更する

    目的: 自分が決めた新しいポート番号で、「Windows」の機能「リモート デスクトップ接続」を使用できるようにすること
    期間:
    対象: 自らが管理をする全ての PC
    例) 「Windows 7 Professional」及び「セキュリティが強化された Windows ファイアウォール」の場合
    手順:
    1. ボタン [スタート] クリック
    2. メニュー [ファイル名を指定して実行…] クリック
    3. [名前(O):]
    4. [WF.msc] 入力
    5. ボタン [OK] クリック
    6. [セキュリティが強化された Windows ファイアウォール]
    7. 左メニュー [受信の規則] クリック
    8. 次のいずれかを選択する
      1. 既存の規則を無効化し、新しい規則を作成する
      2. 既存の規則を変更する
      1. 「既存の規則を無効化し、新しい規則を作成する」を選択する場合

        1. 既存の規則の無効化
          手順:
          1. 名前 [リモート デスクトップ (TCP 受信)] プロファイル [ドメイン] 右クリック
          2. コンテキスト メニュー [規則の無効化] クリック
          3. 名前 [リモート デスクトップ (TCP 受信)] プロファイル [プライベート] 右クリック
          4. コンテキスト メニュー [規則の無効化] クリック
          5. 名前 [リモート デスクトップ (TCP 受信)] プロファイル [パブリック] 右クリック
          6. コンテキスト メニュー [規則の無効化] クリック
        2. 新しい規則の作成
          手順:
          1. 左メニュー [受信の規則] クリック
          2. メニュー [操作(A)] クリック
          3. メニュー [新しい規則(N)…] クリック
          4. ダイアログ ボックス [新規の受信の規則ウイザード]
          5. オプション [カスタム(C)] 選択
          6. ボタン [次へ(N) >] クリック
          7. オプション [すべてのプログラム(A)] 選択
          8. ボタン [次へ(N) >] クリック
          9. [プロトコルの種類(P):]
          10. ドロップダウン リスト [TCP] 選択
          11. [ローカル ポート(L):]
          12. ドロップダウン リスト [特定のポート] 選択
          13. [?????] 入力 (← 自分が決めた新しいポート番号を入力する。通常は、49152~65535のいずれか)
            解説
            「リモート デスクトップ プロトコル」のポート番号として使うべきでない数字 (ポートの目的が推測されやすい) :
            例) 3390, 13389, 23389, 33389, 43389, 53389, 63389
          14. ボタン [次へ(N) >] クリック
          15. [この規則を適用するリモート IP アドレスを選択してください。]
          16. オプション [これらの IP アドレス(H):] 選択
          17. ボタン [追加(D)…] クリック
          18. オプション [この IP アドレスまたはサブネット(A):]
          19. [192.168.XXX.XXX] 入力 (← リモート コンピューター (接続元) の IP アドレスを入力。サブネットではなく単一の IP アドレスが望ましい)
          20. ボタン [OK] クリック
          21. ボタン [次へ(N) >] クリック
          22. オプション [接続を許可する(A)] 選択
          23. ボタン [次へ(N) >] クリック
          24. チェック ボックス [ドメイン(D)] チェック
          25. チェック ボックス [プライベート(P)] チェック
          26. チェック ボックス [パブリック(U)] チェック
          27. ボタン [次へ(N) >] クリック
          28. [名前(N):]
          29. [リモート デスクトップ接続] 入力 (← この名前は自分が決める)
          30. ボタン [完了(F)] クリック
      2. 「既存の規則を変更する」を選択する場合

        手順:
        1. 名前 [リモート デスクトップ (TCP 受信)] 右クリック (← 複数のプロファイル ([ドメイン] [プライベート] [パブリック]) が存在している場合は、全て同じ手順で設定する。)
        2. コンテキスト メニュー [プロパティ(R)] クリック
        3. タブ [スコープ] クリック
        4. セクション [リモート IP アドレス]
        5. オプション [これらの IP アドレス] 選択
        6. ボタン [追加…] クリック
        7. ダイアログ ボックス [IP アドレス]
        8. オプション [この IP アドレスまたはサブネット(A):] 選択
        9. [192.168.XXX.XXX] 入力 (← リモート コンピューター (接続元) の IP アドレスを入力。サブネットではなく単一の IP アドレスが望ましい)
        10. ボタン [OK] クリック
        11. ボタン [適用] クリック
        12. ボタン [OK] クリック
  7. 「アカウント ロックアウト」の設定をする前に、予備のアカウントを作成しておく

    解説
    パスワードの入力を一定回数以上間違えたら、ロックがかかるようにしたい。
    しかし、他者から「ブルートフォース攻撃」 (パスワード総当り攻撃。 Brute-force attack) を受け続けた場合、長期間にわたって、自分自身がログインできなくなるおそれがある。
    そういうときのために、予備のアカウントを作成しておく。
    目的: メインのアカウントがロックされて PC にログインできない場合でも、別のアカウントで PC にログインできるようにすること
    期間:
    対象: 自らが管理をする全ての PC
    例) 「Windows 7」の場合
    手順:
    1. ボタン [スタート] クリック
    2. メニュー [コントロール パネル] クリック
    3. 次のいずれかを選択する
      1. [コントロール パネル] の表示方法が [大きいアイコン] または [小さいアイコン] の場合
      2. [コントロール パネル] の表示方法が [カテゴリ] の場合
      1. [コントロール パネル] の表示方法が [大きいアイコン] または [小さいアイコン] の場合

        1. [ユーザー アカウント] クリック
        2. [別のアカウントの管理] クリック
      2. [コントロール パネル] の表示方法が [カテゴリ] の場合

        1. [ユーザー アカウントの追加または削除] クリック

    4. [新しいアカウントの作成] クリック
    5. [新しいアカウント名]
    6. [god-password-is-zero] 入力 (← この文字列は自分が決める。20文字以内 (半角の場合) の文字列。最長の20文字が望ましい)
      記号のうち、 ! # $ ^ & ( ) – ' . などは使用することができるので入れておくべき (「Windows 7」の場合)
    7. オプション [管理者(A)] 選択
    8. ボタン [アカウントの作成] クリック
    9. 今作成したアカウントをクリック
    10. [パスワードの作成] クリック
    11. [新しいパスワード]
    12. [*******************************************************************************************************************************] 入力 (← この文字列は自分が決める。127文字以内。最長の127文字が望ましい)
    13. [新しいパスワードの確認]
    14. [*******************************************************************************************************************************] 入力
    15. [パスワードのヒントの入力]
    16. [20桁の数字 (20-digit number)] 入力 (← この文字列は自分が決める。わざとデタラメなヒントにすることを検討する)
    17. ボタン [パスワードの作成] クリック
      解説
      もし、アカウント名が「godpasswordiszero」で、パスワードのヒントが「20桁の数字 (20digit number)」だったとして、不正ログインを試行する者は何を考えるか。

      1. 「パスワードは『00000000000000000000』 (← 0が20個) かな」 → 入力 → ログインできない
      2. 「パスワードは『zero』?」 → 入力 → ログインできない
      3. 「パスワードは『0』 (← 0が1個) かな」 → 入力 → ログインできない

        この時点で、ログインに3回失敗している。

      4. 「パスワードは『ZERO』か『Zero』?」 → 入力 → ログインできない
      5. 「パスワードは『zEro』『zeRo』『zerO』『ZEro』『zERo』『zeRO』『ZeRo』『zErO』?」 → 入力 → ログインできない
      6. 「パスワードは『god』?」 → 入力 → ログインできない
      7. 「パスワードは『password-is-zero』?」 → 入力 → ログインできない
      8. 「ちょっと待て。この『アカウント名』自体が全部で20文字じゃね? 1、2、3、420。気づいた私は天才かも」 → 入力 → ログインできない
      9. 「ひょっとして・・・、『20桁の数字 (20-digit number)』自体がパスワード?」 → 入力 → ログインできない
      10. 「しょうがない。ブルートフォースアタックを使うか・・・」 → 入力 → 127文字の場合、解読にものすごい時間がかかる。

      Kaspersky Secure Password Check(https://password.kaspersky.com/jp/)
      によると、スーパーコンピューターを使って、127文字のパスワードの解読に必要とされる時間: 10000+世紀
  8. PC の「ローカル セキュリティ ポリシー」の設定を変更する

    1. 「アカウントのロックアウトのしきい値」を設定する

      目的: パスワードを間違って入力した場合にロックがかかる回数を設定すること
      期間:
      対象: 自らが管理をする全ての PC
      例) 「Windows 7 Professional」の場合
      手順:
      1. ボタン [スタート] クリック
      2. メニュー [ファイル名を指定して実行…] クリック
      3. [名前(O):]
      4. [secpol.msc] 入力
      5. ボタン [OK] クリック
      6. [ローカル セキュリティ ポリシー]
      7. コンソール ツリー [アカウント ポリシー] クリック
      8. コンソール ツリー [アカウント ロックアウトのポリシー] クリック
      9. ポリシー [アカウントのロックアウトのしきい値] 右クリック
      10. コンテキスト メニュー [プロパティ(R)] クリック
      11. ダイアログ ボックス [アカウントのロックアウトのしきい値のプロパティ]
      12. タブ [ローカル セキュリティの設定]
      13. [5] 入力 (← この数字は自分が決める。 [5] なら、5回連続して間違うとロックがかかる。「マイクロソフト」の推奨値=[50])
      14. ボタン [適用] クリック
      15. ボタン [OK] クリック
    2. 「ロックアウト カウンターのリセット」を設定する

      1. ポリシー [ロックアウト カウンターのリセット] 右クリック
      2. コンテキスト メニュー [プロパティ(R)] クリック
      3. ダイアログ ボックス [ロックアウト カウンターのリセットのプロパティ]
      4. タブ [ローカル セキュリティの設定]
      5. [5] 入力 (← この数字は自分が決める。 [5] なら、5分後にカウントがリセットされる。1日=[1440]分, 30日=[43200]分, 60日=[86400]分, 69.44375日(上限)=[99999]分。「マイクロソフト」の推奨値=[30])
      6. ボタン [適用] クリック
      7. ボタン [OK] クリック
    3. 「ロックアウト期間」を設定する

      1. ポリシー [ロックアウト期間] 右クリック
      2. ダイアログ ボックス [ロックアウト期間のプロパティ]
      3. タブ [ローカル セキュリティの設定]
      4. [5] 入力 (← この数字は自分が決める。 [5] なら、5分間だけロックされる。1日=[1440]分, 30日=[43200]分, 60日=[86400]分, 69.44375日(上限)=[99999]分。「マイクロソフト」の推奨値=[30])
    4. 「リモート デスクトップ サービスを使ったログオンを許可」を設定する

      目的: 自らが管理をする PC に、「Windows」の機能「リモート デスクトップ接続」でログインできるユーザーを、前もって「ユーザー名」で指定しておくこと
      期間:
      対象: 自らが管理をする全ての PC
      例) 「Windows 7 Professional」の場合
      手順:
      1. コンソール ツリー [ローカル ポリシー] クリック
      2. コンソール ツリー [ユーザー権利の割り当て] クリック
      3. ポリシー [リモート デスクトップ サービスを使ったログオンを許可] 右クリック
      4. コンテキスト メニュー [プロパティ(R)] クリック
      5. ダイアログ ボックス [リモート デスクトップ サービスを使ったログオンを許可のプロパティ]
      6. タブ [ローカル セキュリティの設定]
      7. ボタン [ユーザーまたはグループの追加(U)…] クリック
      8. ダイアログ ボックス [ユーザー または グループの選択]
      9. ボタン [詳細設定(A)…] クリック
      10. ボタン [検索(N)] クリック
      11. [検索結果(U):]
      12. 名前 (RDN) [(自分のユーザー名)] 選択 (← 自分が普段使用しているユーザー名を選択)
      13. ボタン [OK] クリック
      14. ボタン [OK] クリック
      15. ボタン [ユーザーまたはグループの追加(U)…] クリック
      16. ダイアログ ボックス [ユーザー または グループの選択]
      17. ボタン [詳細設定(A)…] クリック
      18. ボタン [検索(N)] クリック
      19. [検索結果(U):]
      20. 名前 (RDN) [(新しく作成したアカウントのユーザー名)] 選択 (← 新しく作成したアカウント (予備のアカウント) のユーザー名を選択)
      21. ボタン [OK] クリック
      22. ボタン [OK] クリック
      23. [Administrator] 選択
      24. ボタン [削除(R)] クリック
      25. [Remote Desktop Users] 選択
      26. ボタン [削除(R)] クリック
      27. ボタン [適用(A)] クリック
      28. ボタン [OK] クリック
    5. 「対話型ログオン: 最後のユーザー名を表示しない」を設定する

      目的: 自らが管理をする PC へログインする際に、「ユーザー名」の入力を強制して、パスワード総当たり攻撃を困難にすること
      期間:
      対象: 自らが管理をする全ての PC
      例) 「Windows 7 Professional」の場合
      手順:
      1. コンソール ツリー [セキュリティ オプション] クリック
      2. ポリシー [対話型ログオン: 最後のユーザー名を表示しない] 右クリック
      3. コンテキスト メニュー [プロパティ(R)] クリック
      4. ダイアログ ボックス [対話型ログオン: 最後のユーザー名を表示しないのプロパティ]
      5. タブ [ローカル セキュリティの設定]
      6. オプション [有効(E)] 選択
      7. ボタン [適用(A)] クリック
      8. ボタン [OK] クリック
  9. ルーターの設定で、「リモート デスクトップ プロトコル」の標準ポート番号3389を閉じる

    目的: インターネット側からポートスキャンをする他者に対し、「リモート デスクトップ接続」機能が使えない PC だと思わせること
    期間:
    対象: 自らが管理をする全てのルーター
    例) 「Aterm」 (NEC プラットフォームズ株式会社の製品) の場合
    手順:
    1. 設定画面 [クイック設定 Web] 起動
    2. 左メニュー [詳細設定] クリック
    3. 左メニュー [パケットフィルタ設定] クリック
    4. [対象インタフェースを選択] 選択
    5. ボタン [選択] クリック
    6. 画面上の [11~20] や [21~30] 等をクリックし、空いている [優先度] の数字を確認しておく。
    7. ボタン [追加] クリック
    8. [パケットフィルタエントリ追加]
      種別方向プロトコル宛先ポート優先度
      廃棄intcp338920 (← この数字は自分が決める)
      廃棄outtcp338921 (← この数字は自分が決める)
      廃棄inudp338922 (← この数字は自分が決める)
      廃棄outudp338923 (← この数字は自分が決める)
    9. 左メニュー [保存] クリック
  10. ルーターの設定で、自分が決めた新しい「リモート デスクトップ プロトコル」のポート番号を閉じる

    目的: 自分が決めた新しいポート番号を閉じて、自らが管理をするネットワークの外側から「Windows」の機能「リモート デスクトップ接続」を使用できないようにしておくこと
    期間:
    対象: 自らが管理をする全てのルーター
    例) 「Aterm」 (NEC プラットフォームズ株式会社の製品) の場合
    手順:
    1. 設定画面 [クイック設定 Web] 起動
    2. 左メニュー [詳細設定] クリック
    3. 左メニュー [パケットフィルタ設定] クリック
    4. [対象インタフェースを選択] 選択
    5. ボタン [選択] クリック
    6. 画面上の [11~20] や [21~30] 等をクリックし、空いている [優先度] の数字を確認しておく。
    7. ボタン [追加] クリック
    8. [パケットフィルタエントリ追加]
      種別方向プロトコル宛先ポート優先度
      廃棄intcp????? (← 自分が決めた新しいポート番号を入力する)24 (← この数字は自分が決める)
      廃棄outtcp????? (← 自分が決めた新しいポート番号を入力する)25 (← この数字は自分が決める)
      廃棄inudp????? (← 自分が決めた新しいポート番号を入力する)26 (← この数字は自分が決める)
      廃棄outudp????? (← 自分が決めた新しいポート番号を入力する)27 (← この数字は自分が決める)
      解説
      「リモート デスクトップ プロトコル」のポート番号として使うべきでない数字 (ポートの目的が推測されやすい) :
      例) 3390, 13389, 23389, 33389, 43389, 53389, 63389
    9. 左メニュー [保存] クリック
  11. ルーターのパスワードを変更する

    目的: 自らが管理をするルーターの設定が他者に変更されることを防ぐこと
    期間:
    対象: 自らが管理をする全てのルーター
    例) 「Aterm」 (NEC プラットフォームズ株式会社の製品) の場合
    手順:
    1. 設定画面 [クイック設定 Web] 起動
    2. 左メニュー [メンテナンス] クリック
    3. 左メニュー [管理者パスワードの変更] クリック
    4. [現在のパスワード]
    5. [****************************************************************] 入力
    6. [新しいパスワード]
    7. [****************************************************************] 入力 (← この文字列は自分が決める。半角英数字及び記号 – _ を使用して64文字以内。64文字が望ましい)
    8. [新しいパスワード再入力]
    9. [****************************************************************] 入力
    10. ボタン [設定] クリック
    11. 左メニュー [保存] クリック
  12. ルーターの設定を保存する

    目的: 自らが管理をするルーターの設定が初期化されても復元できるようにしておくこと
    期間:
    対象: 自らが管理をする全てのルーター
    例) 「Aterm」 (NEC プラットフォームズ株式会社の製品) の場合
    手順:
    1. 設定画面 [クイック設定 Web] 起動
    2. 左メニュー [メンテナンス] クリック
    3. 左メニュー [設定値の保存&復元] クリック
    4. [ファイルへ保存] クリック
    5. ダイアログ [ファイルのダウンロード]
    6. ボタン [保存(S)] クリック
    7. ダイアログ [名前を付けて保存]
    8. ボタン [保存(S)] クリック
    9. ダイアログ [ダウンロードの完了]
    10. ボタン [閉じる] クリック

その後…

その後、被害を受けたときと同じ IP アドレスでノート PC を使用していますが、対策行なった後は、被害を受けていません。

2017年5月19日Security (セキュリティー)

Posted by Atsushi Fukuda (atsushifukuda.jp)