2017/05/08 RDPパスワード総当たり攻撃型ランサムウェア被害遭遇まとめ

2017年5月19日2019年11月20日Security (セキュリティー)

RDP (リモート・デスクトップ・プロトコル) 攻撃型ランサムウェア感染被害対策まとめ

2017年05月08日、私は、 PC の中のファイルを勝手に暗号化するランサムウェアの被害に遭いました。
他の人々が同じ被害に遭わないように、自分の体験談をまとめることにしました。

このウェブページで使われている用語の説明
ノート PC	私が所有しているノート PC 。ランサムウェアの被害に遭った PC 。
パスワード総当り攻撃	ブルートフォースアタック。 Brute-force attack
ポート番号3389	「Windows」 PC の機能「リモートデスクトップ接続」 (Remote Desktop Connection) が使用する「リモートデスクトッププロトコル」 (Remote Desktop Protocol(RDP)) の標準ポート番号
ランサムウェア	身代金要求型不正プログラム。 Ransomware 端末内のデータを勝手に暗号化し、復号には対価を要求される。

概要

私がランサムウェアの感染被害に遭ったのは、ポート番号3389 総当り攻撃型ランサムウェアです。

より詳しく書くと、「Windows」の機能「リモートデスクトップ接続」が使用するポート番号 [3389] を狙ったパスワード総当り攻撃によるランサムウェアの感染被害です。

自分としては、セキュリティ対策はしっかりやっていたつもりだったんです。

そのときの PC 環境

OS は、「Windows 7 Professional Service Pack 1」を使用していた
「Windows Update」は、先月分 (2017年04月) の更新プログラムまで適用していた
ファイアウォールは、「Windows」の機能「セキュリティが強化された Windows ファイアウォール」を使用していた
ウイルス対策ソフトウェアは、「Microsoft Security Essentials」を実行していた
ウイルス対策ソフトウェアの機能「リアルタイム保護」は、「有効」にしていた
ルーターと PC は、有線 LAN ケーブルで接続していた
PC に、ワイヤレスネットワーク機能 (無線 LAN 機能) はあったが、「OFF」にしていた
メールソフトは使用していなかった

そのときのルーター環境

ルーターは、「NEC Aterm WR8700N」を使用していた
「IPv6 ブリッジ」機能は、「使用しない」に設定していた
「PING 応答機能」は、チェックボックス「使用する」のチェックをはずしておいた
無線 LAN 機能は、チェックボックス「使用する」をチェックはしていたが、全ての PC は有線 LAN ケーブルで接続していた
無線 LAN 機能の「暗号化モード」は、「WPA/WPA2-PSK(AES)」を選択していた
無線 LAN 機能の「暗号化モード」の「WPA 暗号化キー (PSK)」は、設定できる上限「63桁」にしていた (アルファベットの大文字・小文字・数字・記号を混合使用)
「ESS-ID ステルス機能(SSID の隠蔽)」は、チェックボックス「使用する」をチェックしていた
「MAC アドレスフィルタリング機能」は、チェックボックス「使用する」をチェックしていた
無線 LAN 端末の MAC アドレスを登録し、登録した端末だけがルーターに接続できるようにしていた
「パケットフィルタ設定」で自分で開けたポートは、ポート番号「80」だけだった
不正パケットを廃棄する「セキュリティ保護機能」は、チェックボックス「使用する」をチェックしていた
「IPsec パススルー機能」は、チェックボックス「使用する」のチェックをはずしておいた
「メディアサーバ機能」は、チェックボックス「使用する」のチェックをはずしておいた
「DMZ ホスト機能」は、チェックボックス「使用する」のチェックをはずしておいた
「管理者パスワード」は、設定できる上限「64桁」に近い63桁にしていた (アルファベットの大文字・小文字・数字・記号を混合使用)

これだけのセキュリティ対策をしていても、ランサムウェア被害に遭うんです。

経緯

私が被害に遭ったランサムウェアの経緯は次のとおり。 (実は、私は、ランサムウェアの犯人グループから自分の PC が攻撃を受けていることに気づき、ネット上でバトルをしたんです。)

2017年05月07日の夜、私のノート PC に対し、「リモートデスクトッププロトコル」の標準ポート番号3389でアクセスをしてくるロシアのドメイン「.ru」を、ネットワークモニターソフトウェア「TCP Monitor Plus」の画面上で発見した。

その時に私が取った行動・思ったこと：

その IP アドレスを、「Windows」 OS の機能「セキュリティが強化された Windows ファイアウォール」上でブロックする設定を実行した。

その時に私が取った行動・思ったこと：

ロシアのドメイン「.ru」や、オランダのドメイン「.nl」からのアクセスが続く。
それらの IP アドレスを、ファイアウォール上でブロックする作業を3～4回繰り返す。
その時に私が取った行動・思ったこと：
しつこい。
でも、もうそろそろ諦めるだろう。

2017年05月08日の午前01時過ぎころ、ノート PC を起動させたまま、メインのデスクトップ PC をスリープ状態にして睡眠。

その時に私が取った行動・思ったこと：

「イベントビューア」に残された記録によると、2017年05月08日の午前02時半ころ、ノート PC の暗号化が行なわれたらしい。

2017年05月08日の午前05時台に目が覚めて、ノート PC がシャットダウンしているのを発見した。

その時に私が取った行動・思ったこと：

ノート PC の電源を入れると、デスクトップ画面の異変に気付く。
ランサムウェアの被害に遭ったことを確認。

被害

私が経験したランサムウェアの被害状況は次のとおり。

ノート PC は起動させた状態だったのに、シャットダウンさせられていた

ノート PC の中の一部のファイルが暗号化されていた

暗号化された場所	具体例
C:\Users\	「デスクトップ画面」上のショートカット
C:\usr\	自分がインストールした Perl 関連のファイル
L:\	USB フラッシュドライブ (USB メモリー) の中のファイルのうち、暗号化される瞬間に、 OS やプログラムなどによって使用されていなかったファイル

暗号化されなかった場所	具体例
C:\Program Files\
C:\Windows\
L:\	USB フラッシュドライブ (USB メモリー) の中のファイルのうち、暗号化される瞬間に、 OS やプログラムなどによって使用されていたファイル

暗号化されたファイルには、拡張子「.onion」が付いていた
ノート PC の中に、次のファイル名のファイルが保存されていた

-DECRYPT-MY-FILES.txt
そのファイルを開くと、次のような文章が書かれていた

注意事項
- 下記の「●●●●●●●●●●●●●●●●」の部分には、本来、文字が入っていましたが、私が修正しました。
*** ALL YOUR WORK AND PERSONAL FILES HAVE BEEN ENCRYPTED ***

To decrypt your files you need to buy the special software. To recover data, follow the instructions!
You can find out the details/ask questions in the chat:
https://●●●●●●●●●●●●●●●●.onion.to (not need Tor)
https://●●●●●●●●●●●●●●●●.onion.cab (not need Tor)
https://●●●●●●●●●●●●●●●●.onion.nu (not need Tor)

You ID: ●●●●●●●●●●

If the resource is not available for a long time, install and use the Tor-browser:
1. Run your Internet-browser
2. Enter or copy the address https://www.torproject.org/download/download–easy.html in the address bar of your browser and press key ENTER
3. On the site will be offered to download the Tor-browser, download and install it. Run.
4. Connect with the button “Connect" (if you use the English version)
5. After connection, the usual Tor-browser window will open
6. Enter or copy the address http://●●●●●●●●●●●●●●●●.onion in the address bar of Tor-browser and press key ENTER
7. Wait for the site to load

If you have any problems installing or using, please visit the video tutorial
https://www.youtube.com/watch?v=●●●●●●●●●●●

PC 内に残されていたテキストファイル「-DECRYPT-MY-FILES.txt」

選択肢

ランサムウェアの被害に遭った私の選択肢は次のとおり。

「Windows」の機能「システムの復元」を実行してみる
その時に私が取った行動・思ったこと：
やってみた。
復号 (元のデータに復元) されなかった。
「ウイルス対策ソフト」や「セキュリティーソフト」等でウイルスやワーム等を駆除・除去する
その時に私が取った行動・思ったこと：
復号されるわけではない。
犯行の手口や、復号する手がかりがわからなくなるおそれがある。
ランサムウェア復号ツール等を使って、復号を試みる
その時に私が取った行動・思ったこと：
やってみた。
復号されなかった。

相手に身代金を支払う

その時に私が取った行動・思ったこと：

リカバリー (初期化)
その時に私が取った行動・思ったこと：
対策を施さなければ、同じ手口で再び暗号化されるおそれがある。
そのまま使い続ける
その時に私が取った行動・思ったこと：
まだ暗号化されていないファイルが、今後、暗号化されるおそれがある。

対策

ランサムウェアの被害を受けた後に、私がしたことは次のとおり。 (一時的なものも含む。)

ルーターのネットワークを全て切断する
目的：通信を遮断して、自らが管理をするネットワーク内へ他者が侵入することを防ぐこと
期間：対策が終了するまで
対象：自らが管理をする全てのルーター
例) 「Aterm」 (NEC プラットフォームズ株式会社の製品) の場合
手順：
1. 設定画面 [クイック設定 Web] 起動
2. トップページ [装置情報]
3. ボタン [切断] クリック (全ての接続先を切断する)
4. ボタン [最新状態に更新] クリック
PC のネットワークを全て切断する
目的：通信を遮断して、自らが管理をするネットワーク内の他の機器へ被害が及ぶことを防ぐこと
期間：対策が終了するまで
対象：自らが管理をする全ての PC
例) 「Windows 7」の場合
手順：
1. [ネットワークと共有センター]
2. [切断] 又は [無効] 等 (全ての接続先を切断する。 OS によって切断方法が違う場合がある)
PC のパスワードを変更する
目的：現在のパスワードを無効にして、自らが管理をする PC へ他者がログインすることを防ぐこと
期間：
対象：自らが管理をする全ての PC
例) 「Windows 7」の場合
手順：
1. キー [Ctrl] ＋キー [Alt] ＋キー [Del] 同時押し
2. [パスワードの変更 (C)…]
3. [古いパスワード]
4. [****************************************************************] 入力
5. [新しいパスワード]
6. [****************************************************************] 入力 (← この文字列は自分が決める。127文字以内。最長の127文字が望ましい)
7. [パスワードの確認入力]
8. [****************************************************************] 入力
9. ボタン [OK] クリック
PC の機能「リモートデスクトップ接続」を無効にする
目的：ネットワークを通じたログインを無効にして、自らが管理をする PC が他者に遠隔操作されることを防ぐこと
期間：対策が終了するまで
対象：自らが管理をする全ての PC
例) 「Windows 7 Professional」の場合
手順：
1. ボタン [スタート] クリック
2. メニュー [コントロールパネル] クリック
3. [コントロールパネル\すべてのコントロールパネル項目]
4. [システム] クリック
5. 左ペイン [リモートの設定] クリック
6. ダイアログボックス [システムのプロパティ]
7. タブ [リモート]
8. セクション [リモートデスクトップ]
9. オプション [このコンピュータへの接続を許可しない(D)]
10. ボタン [適用] クリック
11. ボタン [OK] クリック

PC の「リモートデスクトッププロトコル」の標準ポート番号を変更する

目的：「Windows」の機能「リモートデスクトップ接続」の標準ポート番号 [3389] を無効にして、自らが管理をする PC へ同機能を使用して接続する際に、「コンピューター名」・「ユーザー名」・「パスワード」の入力に加えて、自分が決めた「新しいポート番号」の入力を強制して、パスワード総当たり攻撃を困難にすること
期間：
対象：自らが管理をする全ての PC
例) 「Windows 7 Professional」の場合
手順：

ボタン [スタート] クリック
メニュー [ファイル名を指定して実行…] クリック
ダイアログボックス [ファイル名を指定して実行]
[名前(O):]
[regedit] 入力
ボタン [OK] クリック
[レジストリエディター]
左ペイン [HKEY_LOCAL_MACHINE] クリック
左ペイン [SYSTEM] クリック
左ペイン [CurrentControlSet] クリック
左ペイン [Control] クリック
左ペイン [Terminal Server] クリック
左ペイン [WinStations] クリック
左ペイン [RDP-Tcp] クリック
右ペイン [PortNumber] 右クリック
コンテキストメニュー [修正(M)…] クリック
ダイアログボックス [DWORD (32 ビット) 値の編集]
セクション [表記]
オプション [10 進数(D)] 選択
[値のデータ(V):]

[?????] 入力 (← 自分が決めた新しいポート番号を入力する。通常は、49152～65535のいずれか。)

解説
「リモートデスクトッププロトコル」のポート番号として使うべきでない数字 (ポートの目的が推測されやすい) ：
例) 3390, 13389, 23389, 33389, 43389, 53389, 63389

ボタン [OK] クリック
メニュー [ファイル(F)] クリック
メニュー [レジストリエディタの終了(X)] クリック

PC を再起動する

解説
今後、自らが管理をする PC へ「リモートデスクトップ接続」機能を使用して接続する際には、 [コンピューター(C):] の所に [192.168.XXX.XXX:?????] のように入力して接続することになります。 ([?????] は、自分が決めた新しいポート番号)

PC の「ファイアウォール」の設定を変更する

目的：自分が決めた新しいポート番号で、「Windows」の機能「リモートデスクトップ接続」を使用できるようにすること
期間：
対象：自らが管理をする全ての PC
例) 「Windows 7 Professional」及び「セキュリティが強化された Windows ファイアウォール」の場合
手順：

ボタン [スタート] クリック
メニュー [ファイル名を指定して実行…] クリック
[名前(O):]
[WF.msc] 入力
ボタン [OK] クリック
[セキュリティが強化された Windows ファイアウォール]
左メニュー [受信の規則] クリック

次のいずれかを選択する

既存の規則を無効化し、新しい規則を作成する
既存の規則を変更する

「既存の規則を無効化し、新しい規則を作成する」を選択する場合

既存の規則の無効化
手順：
1. 名前 [リモートデスクトップ (TCP 受信)] プロファイル [ドメイン] 右クリック
2. コンテキストメニュー [規則の無効化] クリック
3. 名前 [リモートデスクトップ (TCP 受信)] プロファイル [プライベート] 右クリック
4. コンテキストメニュー [規則の無効化] クリック
5. 名前 [リモートデスクトップ (TCP 受信)] プロファイル [パブリック] 右クリック
6. コンテキストメニュー [規則の無効化] クリック

新しい規則の作成
手順：

左メニュー [受信の規則] クリック
メニュー [操作(A)] クリック
メニュー [新しい規則(N)…] クリック
ダイアログボックス [新規の受信の規則ウイザード]
オプション [カスタム(C)] 選択
ボタン [次へ(N) >] クリック
オプション [すべてのプログラム(A)] 選択
ボタン [次へ(N) >] クリック
[プロトコルの種類(P):]
ドロップダウンリスト [TCP] 選択
[ローカルポート(L):]
ドロップダウンリスト [特定のポート] 選択

[?????] 入力 (← 自分が決めた新しいポート番号を入力する。通常は、49152～65535のいずれか)

ボタン [次へ(N) >] クリック
[この規則を適用するリモート IP アドレスを選択してください。]
オプション [これらの IP アドレス(H):] 選択
ボタン [追加(D)…] クリック
オプション [この IP アドレスまたはサブネット(A):]
[192.168.XXX.XXX] 入力 (← リモートコンピューター (接続元) の IP アドレスを入力。サブネットではなく単一の IP アドレスが望ましい)
ボタン [OK] クリック
ボタン [次へ(N) >] クリック
オプション [接続を許可する(A)] 選択
ボタン [次へ(N) >] クリック
チェックボックス [ドメイン(D)] チェック
チェックボックス [プライベート(P)] チェック
チェックボックス [パブリック(U)] チェック
ボタン [次へ(N) >] クリック
[名前(N):]
[リモートデスクトップ接続] 入力 (← この名前は自分が決める)
ボタン [完了(F)] クリック

「既存の規則を変更する」を選択する場合
手順：
1. 名前 [リモートデスクトップ (TCP 受信)] 右クリック (← 複数のプロファイル ([ドメイン] [プライベート] [パブリック]) が存在している場合は、全て同じ手順で設定する。)
2. コンテキストメニュー [プロパティ(R)] クリック
3. タブ [スコープ] クリック
4. セクション [リモート IP アドレス]
5. オプション [これらの IP アドレス] 選択
6. ボタン [追加…] クリック
7. ダイアログボックス [IP アドレス]
8. オプション [この IP アドレスまたはサブネット(A):] 選択
9. [192.168.XXX.XXX] 入力 (← リモートコンピューター (接続元) の IP アドレスを入力。サブネットではなく単一の IP アドレスが望ましい)
10. ボタン [OK] クリック
11. ボタン [適用] クリック
12. ボタン [OK] クリック

「アカウントロックアウト」の設定をする前に、予備のアカウントを作成しておく

解説
パスワードの入力を一定回数以上間違えたら、ロックがかかるようにしたい。
しかし、他者から「ブルートフォース攻撃」 (パスワード総当り攻撃。 Brute-force attack) を受け続けた場合、長期間にわたって、自分自身がログインできなくなるおそれがある。
そういうときのために、予備のアカウントを作成しておく。

目的：メインのアカウントがロックされて PC にログインできない場合でも、別のアカウントで PC にログインできるようにすること
期間：
対象：自らが管理をする全ての PC
例) 「Windows 7」の場合
手順：

ボタン [スタート] クリック
メニュー [コントロールパネル] クリック
次のいずれかを選択する
1. [コントロールパネル] の表示方法が [大きいアイコン] または [小さいアイコン] の場合
2. [コントロールパネル] の表示方法が [カテゴリ] の場合
1. [コントロールパネル] の表示方法が [大きいアイコン] または [小さいアイコン] の場合
  1. [ユーザーアカウント] クリック
  2. [別のアカウントの管理] クリック
2. [コントロールパネル] の表示方法が [カテゴリ] の場合
  1. [ユーザーアカウントの追加または削除] クリック
[新しいアカウントの作成] クリック
[新しいアカウント名]
[god-password-is-zero] 入力 (← この文字列は自分が決める。20文字以内 (半角の場合) の文字列。最長の20文字が望ましい)
記号のうち、 ! # $ ^ & ( ) – ' . などは使用することができるので入れておくべき (「Windows 7」の場合)
オプション [管理者(A)] 選択
ボタン [アカウントの作成] クリック
今作成したアカウントをクリック
[パスワードの作成] クリック
[新しいパスワード]
[*******************************************************************************************************************************] 入力 (← この文字列は自分が決める。127文字以内。最長の127文字が望ましい)
[新しいパスワードの確認]
[*******************************************************************************************************************************] 入力
[パスワードのヒントの入力]
[20桁の数字 (20-digit number)] 入力 (← この文字列は自分が決める。わざとデタラメなヒントにすることを検討する)

ボタン [パスワードの作成] クリック

解説
もし、アカウント名が「god–password–is–zero」で、パスワードのヒントが「20桁の数字 (20–digit number)」だったとして、不正ログインを試行する者は何を考えるか。

「パスワードは『00000000000000000000』 (← 0が20個) かな」 → 入力 → ログインできない
「パスワードは『zero』？」 → 入力 → ログインできない
「パスワードは『0』 (← 0が1個) かな」 → 入力 → ログインできない

この時点で、ログインに3回失敗している。
「パスワードは『ZERO』か『Zero』？」 → 入力 → ログインできない
「パスワードは『zEro』『zeRo』『zerO』『ZEro』『zERo』『zeRO』『ZeRo』『zErO』？」 → 入力 → ログインできない
「パスワードは『god』？」 → 入力 → ログインできない
「パスワードは『password-is-zero』？」 → 入力 → ログインできない
「ちょっと待て。この『アカウント名』自体が全部で20文字じゃね？ 1、2、3、4・・・・20。気づいた私は天才かも」 → 入力 → ログインできない
「ひょっとして・・・、『20桁の数字 (20-digit number)』自体がパスワード？」 → 入力 → ログインできない
「しょうがない。ブルートフォースアタックを使うか・・・」 → 入力 → 127文字の場合、解読にものすごい時間がかかる。

「Kaspersky Secure Password Check」(https://password.kaspersky.com/jp/)
によると、スーパーコンピューターを使って、127文字のパスワードの解読に必要とされる時間： 10000+世紀

PC の「ローカルセキュリティポリシー」の設定を変更する
1. 「アカウントのロックアウトのしきい値」を設定する
  目的：パスワードを間違って入力した場合にロックがかかる回数を設定すること
  期間：
  対象：自らが管理をする全ての PC
  例) 「Windows 7 Professional」の場合
  手順：
  1. ボタン [スタート] クリック
  2. メニュー [ファイル名を指定して実行…] クリック
  3. [名前(O):]
  4. [secpol.msc] 入力
  5. ボタン [OK] クリック
  6. [ローカルセキュリティポリシー]
  7. コンソールツリー [アカウントポリシー] クリック
  8. コンソールツリー [アカウントロックアウトのポリシー] クリック
  9. ポリシー [アカウントのロックアウトのしきい値] 右クリック
  10. コンテキストメニュー [プロパティ(R)] クリック
  11. ダイアログボックス [アカウントのロックアウトのしきい値のプロパティ]
  12. タブ [ローカルセキュリティの設定]
  13. [5] 入力 (← この数字は自分が決める。 [5] なら、5回連続して間違うとロックがかかる。「マイクロソフト」の推奨値=[50])
  14. ボタン [適用] クリック
  15. ボタン [OK] クリック
2. 「ロックアウトカウンターのリセット」を設定する
  1. ポリシー [ロックアウトカウンターのリセット] 右クリック
  2. コンテキストメニュー [プロパティ(R)] クリック
  3. ダイアログボックス [ロックアウトカウンターのリセットのプロパティ]
  4. タブ [ローカルセキュリティの設定]
  5. [5] 入力 (← この数字は自分が決める。 [5] なら、5分後にカウントがリセットされる。1日=[1440]分, 30日=[43200]分, 60日=[86400]分, 69.44375日(上限)=[99999]分。「マイクロソフト」の推奨値=[30])
  6. ボタン [適用] クリック
  7. ボタン [OK] クリック
3. 「ロックアウト期間」を設定する
  1. ポリシー [ロックアウト期間] 右クリック
  2. ダイアログボックス [ロックアウト期間のプロパティ]
  3. タブ [ローカルセキュリティの設定]
  4. [5] 入力 (← この数字は自分が決める。 [5] なら、5分間だけロックされる。1日=[1440]分, 30日=[43200]分, 60日=[86400]分, 69.44375日(上限)=[99999]分。「マイクロソフト」の推奨値=[30])
4. 「リモートデスクトップサービスを使ったログオンを許可」を設定する
  目的：自らが管理をする PC に、「Windows」の機能「リモートデスクトップ接続」でログインできるユーザーを、前もって「ユーザー名」で指定しておくこと
  期間：
  対象：自らが管理をする全ての PC
  例) 「Windows 7 Professional」の場合
  手順：
  1. コンソールツリー [ローカルポリシー] クリック
  2. コンソールツリー [ユーザー権利の割り当て] クリック
  3. ポリシー [リモートデスクトップサービスを使ったログオンを許可] 右クリック
  4. コンテキストメニュー [プロパティ(R)] クリック
  5. ダイアログボックス [リモートデスクトップサービスを使ったログオンを許可のプロパティ]
  6. タブ [ローカルセキュリティの設定]
  7. ボタン [ユーザーまたはグループの追加(U)…] クリック
  8. ダイアログボックス [ユーザーまたはグループの選択]
  9. ボタン [詳細設定(A)…] クリック
  10. ボタン [検索(N)] クリック
  11. [検索結果(U):]
  12. 名前 (RDN) [(自分のユーザー名)] 選択 (← 自分が普段使用しているユーザー名を選択)
  13. ボタン [OK] クリック
  14. ボタン [OK] クリック
  15. ボタン [ユーザーまたはグループの追加(U)…] クリック
  16. ダイアログボックス [ユーザーまたはグループの選択]
  17. ボタン [詳細設定(A)…] クリック
  18. ボタン [検索(N)] クリック
  19. [検索結果(U):]
  20. 名前 (RDN) [(新しく作成したアカウントのユーザー名)] 選択 (← 新しく作成したアカウント (予備のアカウント) のユーザー名を選択)
  21. ボタン [OK] クリック
  22. ボタン [OK] クリック
  23. [Administrator] 選択
  24. ボタン [削除(R)] クリック
  25. [Remote Desktop Users] 選択
  26. ボタン [削除(R)] クリック
  27. ボタン [適用(A)] クリック
  28. ボタン [OK] クリック
5. 「対話型ログオン: 最後のユーザー名を表示しない」を設定する
  目的：自らが管理をする PC へログインする際に、「ユーザー名」の入力を強制して、パスワード総当たり攻撃を困難にすること
  期間：
  対象：自らが管理をする全ての PC
  例) 「Windows 7 Professional」の場合
  手順：
  1. コンソールツリー [セキュリティオプション] クリック
  2. ポリシー [対話型ログオン: 最後のユーザー名を表示しない] 右クリック
  3. コンテキストメニュー [プロパティ(R)] クリック
  4. ダイアログボックス [対話型ログオン: 最後のユーザー名を表示しないのプロパティ]
  5. タブ [ローカルセキュリティの設定]
  6. オプション [有効(E)] 選択
  7. ボタン [適用(A)] クリック
  8. ボタン [OK] クリック

ルーターの設定で、「リモートデスクトッププロトコル」の標準ポート番号3389を閉じる

目的：インターネット側からポートスキャンをする他者に対し、「リモートデスクトップ接続」機能が使えない PC だと思わせること
期間：
対象：自らが管理をする全てのルーター
例) 「Aterm」 (NEC プラットフォームズ株式会社の製品) の場合
手順：

設定画面 [クイック設定 Web] 起動
左メニュー [詳細設定] クリック
左メニュー [パケットフィルタ設定] クリック
[対象インタフェースを選択] 選択
ボタン [選択] クリック
画面上の [11～20] や [21～30] 等をクリックし、空いている [優先度] の数字を確認しておく。
ボタン [追加] クリック

[パケットフィルタエントリ追加]

種別	方向	プロトコル	宛先ポート	優先度
廃棄	in	tcp	3389	20 (← この数字は自分が決める)
廃棄	out	tcp	3389	21 (← この数字は自分が決める)
廃棄	in	udp	3389	22 (← この数字は自分が決める)
廃棄	out	udp	3389	23 (← この数字は自分が決める)

左メニュー [保存] クリック

ルーターの設定で、自分が決めた新しい「リモートデスクトッププロトコル」のポート番号を閉じる

目的：自分が決めた新しいポート番号を閉じて、自らが管理をするネットワークの外側から「Windows」の機能「リモートデスクトップ接続」を使用できないようにしておくこと
期間：
対象：自らが管理をする全てのルーター
例) 「Aterm」 (NEC プラットフォームズ株式会社の製品) の場合
手順：

設定画面 [クイック設定 Web] 起動
左メニュー [詳細設定] クリック
左メニュー [パケットフィルタ設定] クリック
[対象インタフェースを選択] 選択
ボタン [選択] クリック
画面上の [11～20] や [21～30] 等をクリックし、空いている [優先度] の数字を確認しておく。
ボタン [追加] クリック

[パケットフィルタエントリ追加]

種別	方向	プロトコル	宛先ポート	優先度
廃棄	in	tcp	????? (← 自分が決めた新しいポート番号を入力する)	24 (← この数字は自分が決める)
廃棄	out	tcp	????? (← 自分が決めた新しいポート番号を入力する)	25 (← この数字は自分が決める)
廃棄	in	udp	????? (← 自分が決めた新しいポート番号を入力する)	26 (← この数字は自分が決める)
廃棄	out	udp	????? (← 自分が決めた新しいポート番号を入力する)	27 (← この数字は自分が決める)

左メニュー [保存] クリック

ルーターのパスワードを変更する
目的：自らが管理をするルーターの設定が他者に変更されることを防ぐこと
期間：
対象：自らが管理をする全てのルーター
例) 「Aterm」 (NEC プラットフォームズ株式会社の製品) の場合
手順：
1. 設定画面 [クイック設定 Web] 起動
2. 左メニュー [メンテナンス] クリック
3. 左メニュー [管理者パスワードの変更] クリック
4. [現在のパスワード]
5. [****************************************************************] 入力
6. [新しいパスワード]
7. [****************************************************************] 入力 (← この文字列は自分が決める。半角英数字及び記号 – _ を使用して64文字以内。64文字が望ましい)
8. [新しいパスワード再入力]
9. [****************************************************************] 入力
10. ボタン [設定] クリック
11. 左メニュー [保存] クリック
ルーターの設定を保存する
目的：自らが管理をするルーターの設定が初期化されても復元できるようにしておくこと
期間：
対象：自らが管理をする全てのルーター
例) 「Aterm」 (NEC プラットフォームズ株式会社の製品) の場合
手順：
1. 設定画面 [クイック設定 Web] 起動
2. 左メニュー [メンテナンス] クリック
3. 左メニュー [設定値の保存＆復元] クリック
4. [ファイルへ保存] クリック
5. ダイアログ [ファイルのダウンロード]
6. ボタン [保存(S)] クリック
7. ダイアログ [名前を付けて保存]
8. ボタン [保存(S)] クリック
9. ダイアログ [ダウンロードの完了]
10. ボタン [閉じる] クリック