テレワークの普及に伴い、リモートデスクトップを業務で利用する企業は増えました。一方で、「現在の設定のままで安全なのか」「追加で何か対策すべきではないか」と不安を感じている方も多いのではないでしょうか。
リモートデスクトップ、とくにWindowsのRDP(Remote Desktop Protocol)は、サイバー攻撃者にとって格好の侵入経路として知られています。デフォルト設定のまま運用している環境は、ブルートフォース攻撃やランサムウェアの標的となるリスクが高い状態です。
ただし、リスクの構造を正しく理解し、優先度の高い対策から順に実施すれば、リモートデスクトップの安全性は大幅に引き上げられます。今回は、RDPが狙われる理由と実際の攻撃事例を踏まえたうえで、「まず何をすべきか」が判断できるよう対策を優先度順に整理しました。
リモートデスクトップが狙われる理由とセキュリティリスク
リモートデスクトップのセキュリティ対策を考えるうえで、まず押さえておきたいのは「なぜRDPが攻撃者にとって都合のよいターゲットなのか」という点です。リスクの種類だけ知っていても、対策の優先度は判断しにくいものです。攻撃者側の視点を理解することで、どの対策が急務かが見えてきます。
RDPが構造的に狙われやすい理由
RDPが頻繁に攻撃される背景には、プロトコルそのものの特性が関係しています。
もっとも大きな要因は、RDPがデフォルトでTCPポート3389を使用する点です。攻撃者はインターネット上のIPアドレスに対してポートスキャンを行い、3389番が開放されている端末を機械的に洗い出します。Shodanなどの検索エンジンを使えば、RDPが公開されたサーバーを一覧で確認できてしまうため、攻撃の起点として見つけやすいのです。
認証の仕組みにも弱点があります。
標準設定のRDPはIDとパスワードだけで接続を許可するため、ブルートフォース攻撃(総当たり攻撃)や辞書攻撃で突破されるリスクがあります。ログイン試行回数に制限を設けていない環境では、攻撃者は何万回でもパスワードを試行でき、時間さえかければ突破される可能性が高まります。盗み出した認証情報を使い回すクレデンシャルスタッフィングも、攻撃手段のひとつです。
加えて、RDP接続はリモート端末をほぼ完全に操作できる強力なアクセス権を与えます。Webアプリケーションへの攻撃とは異なり、一度侵入されればファイル操作・ソフトウェアのインストール・ネットワーク内の横展開まで自由に行われてしまう点も、攻撃者にとってRDPが魅力的な標的である理由です。
さらに、RDPそのものの脆弱性が放置されやすい点も見逃せません。RDPはブルートフォースだけでなく、パッチ未適用の既知の脆弱性を突かれて侵入されることもあります。
想定される具体的な被害パターン
RDP環境で対策が不十分な場合、次のような被害が想定されます。
リモートデスクトップ環境で想定される主な被害
| リスクの種類 | 被害の内容 |
|---|---|
| 不正アクセス | 窃取した認証情報で社内PCに侵入され、機密ファイルの閲覧・持ち出しが行われる |
| ランサムウェア感染 | RDP経由で侵入後、社内ネットワーク全体にランサムウェアを展開され、業務データが暗号化される |
| 情報漏洩 | 顧客データや営業秘密が外部に流出し、法的責任・信用失墜につながる |
| 踏み台利用 | 侵入した端末を経由して、取引先や他の社内システムへの攻撃に悪用される |
とくに注意が必要なのはランサムウェアです。インシデント対応企業Sophosが2025年に公表した調査(2024年の事案を分析)では、RDPが対応事案の84%に関与しており、最も悪用されたMicrosoftの機能となっています。
国内でも、警察庁の調査ではランサムウェアの侵入経路としてVPN機器が最多で、VPN機器とリモートデスクトップを合わせると侵入経路の大多数を占めています。
「自社は小規模だから狙われないだろう」と考えがちですが、攻撃者はポートスキャンで無差別にターゲットを探索します。企業規模に関係なく、RDPを公開している環境はすべてリスクにさらされていると認識する必要があります。
※参考:CISA|Stop Ransomware
※参考:Sophos | The 2025 Sophos Active Adversary Report
※参考:警察庁 │ サイバー警察局便り
RDP経由のサイバー攻撃事例
リスクを把握したところで、実際にRDPを経由して発生した代表的な攻撃事例を確認しましょう。ここでは手口の種類ごとに、攻撃の仕組みと「どの対策が欠けていたために被害が拡大したか」を整理します。
- 窃取されたRDP認証情報による組織的な侵入(Conti型)
- RDPの脆弱性を悪用したリモートコード実行(BlueKeep型)
- RDP侵入を起点としたランサムウェア展開(Phobos型)
いずれも、基本的な対策の抜け漏れが被害拡大の原因となった事例です。
窃取されたRDP認証情報による組織的な侵入(Conti型)
Contiは2020年から2022年にかけて活動し、1,000件を超える攻撃で世界中の組織に被害を与えた大規模なランサムウェアグループです。CISA・FBI・NSAが共同でアドバイザリーを公開しており、その手口が詳細に分析されています。
CISAのアドバイザリーによると、Contiの初期侵入手法にはフィッシングメール、フィッシング電話、既知の脆弱性の悪用など複数の経路があり、その一つが「窃取された、または脆弱なRDP認証情報」の悪用でした。ダークウェブで売買された認証情報や、推測しやすいパスワードが設定されたRDPアカウントを利用して、インターネットに公開されたRDP経由で組織のネットワークに侵入していたことがわかっています。
この事例が示しているのは、RDPの認証情報管理がいかに重要かという点です。単純なパスワードの使用、デフォルトアカウント名の放置、パスワード認証のみの運用といった不備が、組織的な犯罪グループに侵入の足がかりを与えていました。
※参考:CISA|Conti Ransomware Advisory(AA21-265A)
RDPの脆弱性を悪用したリモートコード実行(BlueKeep型)
BlueKeep(CVE-2019-0708)は、Windows RDPサービスに存在した重大な脆弱性です。認証を経ることなくリモートからコードを実行できるため、発見当初から深刻度が高いと判定されました。
BlueKeepの危険性は、パスワードの強度やMFAの有無に関係なく侵入できる点にあります。RDPサービスそのものの脆弱性を突くため、認証周りの対策だけでは防御できません。Microsoftはセキュリティパッチを公開しましたが、適用されていない環境が多数残り、攻撃の対象となりました。
この事例が示す教訓はシンプルです。OSやソフトウェアのセキュリティアップデートを速やかに適用することです。パスワード強化やMFAだけに頼らず、パッチ管理を運用に組み込む必要があります。
※参考:CISA|BlueKeep Vulnerability Alert(AA19-168A)
RDP侵入を起点としたランサムウェア展開(Phobos型)
Phobosは、RDPの認証を突破して侵入し、端末やネットワーク共有上のファイルを暗号化するランサムウェアです。中小企業を中心に被害が報告されており、CISAやFBIが共同でアドバイザリーを公開しています。
Phobosの典型的な侵入パターンは、インターネットに公開されたRDPポートに対するブルートフォース攻撃です。認証を突破すると、攻撃者は管理者権限の取得、セキュリティソフトの無効化、バックアップの削除を経て、最終的にランサムウェアを展開します。
Contiの事例が認証情報の窃取・悪用を起点としていたのに対し、Phobosではブルートフォース攻撃による認証突破が主な侵入経路です。
いずれもRDPの公開と認証の脆弱さが原因ですが、Phobosの事例ではとくに「侵入後の横展開を防ぐ対策」の欠如が被害を拡大させました。アクセスログの監視やセッション管理が機能していれば、暗号化に至る前の段階で異常を検知できた可能性があります。
※参考:CISA|Phobos Ransomware Advisory(AA24-060A)
リモートデスクトップのセキュリティ強化策【優先度順】
ここまで見てきたリスクと攻撃事例を踏まえると、リモートデスクトップのセキュリティ対策で重要なのは「何から手をつけるか」の判断です。対策を優先度の高い順に3段階で整理しました。
- 最優先で実施すべき基本対策(認証強化・ポート変更・パッチ適用)
- ネットワークレベルの防御策(VPN・IP制限・NLA)
- 運用・監視で強化する対策(ログイン制限・セッション管理・ログ監査)
自社の環境でどこまで実施済みか、照らし合わせながら確認してみてください。
最優先で実施すべき基本対策(認証強化・ポート変更・パッチ適用)
コストをかけずに、すぐ実行できる対策がこのカテゴリーです。前章の攻撃事例でも、ここに挙げる対策のいずれかが欠けていたことが被害の直接原因となっていました。
- デフォルトポート(3389)の変更
- 多要素認証(MFA)の導入
- 強力なパスワードポリシーの適用
- OSとソフトウェアの最新化
- 利用していないRDPの無効化
それぞれの対策内容と効果を確認します。
デフォルトポート(3389)の変更
RDPのデフォルトポート3389は、攻撃者がスキャンツールでまず最初に確認するポート番号です。ポート番号を変更するだけで、無差別なポートスキャンによる攻撃対象からは外れやすくなります。
ただし、ポート変更は「攻撃の難易度を少し上げる」程度の効果であり、標的型攻撃に対しては万全ではありません。むしろ後述のVPN導入やIP制限で「インターネットへの直接公開を止める」ほうが根本的な対策となります。ポート変更はあくまで他の対策と併用する前提で、容易に実施できる対策として位置づけてください。Windowsの場合、レジストリエディタでRDPのリスニングポートを変更し、ファイアウォールの許可ルールも新しいポート番号に合わせて更新します。
多要素認証(MFA)の導入
パスワードだけの認証は、ブルートフォース攻撃や認証情報の漏洩に対して脆弱です。MFAを導入すれば、仮にパスワードが窃取されても、もう1つの認証要素(ワンタイムコード、認証アプリ、生体認証など)がなければ接続を許可しません。
ContiやPhobosの事例は、いずれもパスワード認証のみの環境が標的となりました。MFAを導入していれば、認証情報が窃取された場合でもブルートフォース攻撃を受けた場合でも、不正なログインを防ぐことができます。対策としての費用対効果がもっとも高い施策の一つです。
Windows環境では、Azure AD(Microsoft Entra ID)との連携や、サードパーティの認証ソリューションを利用してRDP接続にMFAを適用できます。
強力なパスワードポリシーの適用
MFAと併せて見直しておきたいのが、パスワードポリシーです。「admin」「password123」のような単純なパスワードは、辞書攻撃で数秒から数分で突破されます。
効果的なパスワードポリシーのポイントは次のとおりです。
- パスワードの最低文字数を12文字以上に設定する
- 推測されやすいパスワードや、過去に漏えいしたパスワードのリストと照合し、登録を拒否する
- 大文字・小文字・数字・記号の組み合わせを必須にする
- 過去に使用したパスワードの再利用を禁止する
- 「admin」「user」などのデフォルトアカウント名を変更する
グループポリシー(GPO)を利用すれば、組織内の端末に一括でポリシーを適用できます。パスワードの定期変更については、近年はNIST(米国国立標準技術研究所)のガイドラインでも「定期変更よりも長く複雑なパスワードの方が有効」とされている点も押さえておくとよいでしょう。
OSとソフトウェアの最新化
BlueKeepの事例が示すとおり、RDPの脆弱性はパスワードやMFAに関係なく侵入を許す可能性があります。Microsoftがセキュリティパッチを公開しても、適用が遅れればその期間はゼロデイ攻撃と同じリスクを抱えることになります。
対策として実施すべきことは2つあります。
Windows Updateの自動更新を有効にすること、そして月例パッチの適用状況を定期的に確認する運用を組み込むことです。WSUSやMicrosoft Intuneなどの管理ツールを利用すると、組織内の端末のパッチ適用状況を一元的に把握できます。
RDPに限らず、リモートアクセス関連のソフトウェア(VPNクライアント、リモートデスクトップツールなど)のアップデートも忘れずに行いましょう。
利用していないRDPの無効化
コストがかからず、かつ確実な対策は、使っていないRDPを無効化することです。RDPが有効になっていなければ、ポートスキャンで見つかることも、ブルートフォース攻撃の標的になることもありません。
まずは業務で本当にRDPが必要かを棚卸しし、不要な端末では機能を無効化します。必要な場合でも、インターネットに直接公開せず、後述のVPNやIP制限を前提とした構成にすることが大原則です。
ネットワークレベルの防御策(VPN・IP制限・NLA)
基本対策を実施したうえで、次に取り組むべきはネットワーク層での防御です。認証を突破されにくくするだけでなく、そもそもRDPサービスへの到達経路を制限することで、攻撃の成立条件を大幅に狭められます。
- VPN経由でのRDP接続
- IPアドレス制限とファイアウォール設定
- ネットワークレベル認証(NLA)の有効化
VPN経由でのRDP接続
もっとも効果的なネットワーク防御策は、RDPポートをインターネットに直接公開せず、VPN接続を経由させることです。VPNを挟むことで、RDPサービスは社内ネットワーク内でしかアクセスできなくなり、ポートスキャンの対象から完全に外れます。
ContiやPhobosの攻撃は、いずれもインターネットに直接公開されたRDPポートが起点でした。VPN経由に切り替えるだけで、この種の無差別攻撃はほぼ無効化できます。
VPN環境の構築にはコストと運用負荷がかかりますが、リモートデスクトップを業務で常用する環境では、導入の優先度は高いといえます。VPN自体にもMFAを適用すると、防御の層がさらに厚くなります。
ただし、VPNは万能ではない点に注意が必要です。実は、VPN機器そのものがランサムウェアの最多の侵入経路となっています。RDPをVPNの背後に隠しても、そのVPN機器が脆弱なまま放置されていたり、MFAが未適用だったりすると、攻撃者の侵入口がRDPからVPNに移るだけになってしまいます。
VPNを導入する際は、次の点もあわせて徹底してください。
- VPN機器のファームウェアを常に最新化する(KEVカタログ掲載のVPN脆弱性は特に最優先で対応する)
- VPNへのアクセスにMFAを必須にする
- 不要になったVPNアカウントやアクセス権を定期的に棚卸しする
IPアドレス制限とファイアウォール設定
VPN導入が難しい場合でも、ファイアウォールでRDP接続の許可元IPアドレスを限定することで、攻撃リスクを大幅に下げられます。「特定のオフィスIPからのみ接続を許可する」「社員の自宅回線の固定IPのみ許可する」といった設定です。
Windowsファイアウォールの受信規則で、RDP用ポートへのアクセスを許可するIPアドレスをホワイトリスト方式で指定します。ルーターやUTM(統合脅威管理)機器側でも同様のフィルタリングを設定すると、防御をより堅固にできます。
注意点として、動的IPアドレスを使用しているリモートワーカーが多い場合、IP制限だけでは運用が煩雑になりがちです。その場合は、VPNとの併用を検討するのが現実的でしょう。
ネットワークレベル認証(NLA)の有効化
NLA(Network Level Authentication)は、RDPセッションが確立される前にユーザー認証を要求する仕組みです。NLAが無効な場合、認証画面が表示される前にRDPサービスへの接続が成立してしまうため、BlueKeepのようなプロトコル脆弱性を突かれるリスクが高まります。
NLAを有効にすると、認証済みのユーザーだけがRDPセッションを開始できるため、未認証の攻撃者がRDPサービスに到達すること自体を防げます。Windows 8.1以降ではNLAがデフォルトで有効になっていますが、古いバージョンのWindowsやグループポリシーの設定によっては無効化されている場合があるため、確認が必要です。
設定はシステムのプロパティ「リモート」タブ、またはグループポリシーから変更できます。
運用・監視で強化する対策(ログイン制限・セッション管理・ログ監査)
認証とネットワークの対策を講じたあとに取り組みたいのが、運用面での強化です。ここまでの対策は「侵入を防ぐ」ことに重点を置いていますが、万が一突破された場合に被害を最小限にとどめるには、異常の検知と自動制御の仕組みが必要です。
- ログイン試行回数の制限とアカウントロックアウト
- セッションタイムアウトの設定
- アクセスログの監視と定期監査
ログイン試行回数の制限とアカウントロックアウト
ブルートフォース攻撃の成否は、何回試行できるかに大きく依存します。ログイン試行回数に制限を設けてアカウントロックアウトを有効にすれば、一定回数の失敗後にアカウントが自動でロックされ、攻撃の継続を阻止できます。
Windowsのローカルセキュリティポリシーまたはグループポリシーで設定可能です。一般的には、5回程度の失敗でロックアウトし、15〜30分後に自動解除する設定が実用的でしょう。ロックアウトの閾値が低すぎると正規ユーザーが誤ロックされるリスクがあるため、MFAと組み合わせたうえで適切な回数を設定することが大切です。
セッションタイムアウトの設定
リモートデスクトップのセッションを開いたまま放置していると、端末から離席した隙にセッションを乗っ取られるリスクがあります。とくにVPN接続中のセッションが長時間維持されていると、VPNの認証を突破した攻撃者がそのままRDP環境に到達できてしまいます。
グループポリシーで「アイドルセッションの制限時間」と「切断されたセッションの制限時間」を設定しましょう。業務の実態に合わせて、アイドル状態が一定時間続いた場合に自動でセッションを切断する運用が有効です。
アクセスログの監視と定期監査
Phobosの事例では、侵入から暗号化までの間に攻撃者が複数のステップを踏んでいました。もしこの間にアクセスログの異常を検知できていれば、被害の拡大を防げた可能性があります。
Windowsのイベントログには、RDP接続の成功・失敗が記録されます。確認すべきイベントIDは次のとおりです。
RDP接続に関連する主なWindowsイベントID
| イベントID | 内容 |
|---|---|
| 4624 | ログオン成功 |
| 4625 | ログオン失敗 |
| 4778 | セッション再接続 |
| 4779 | セッション切断 |
深夜や休日のログオン成功、短時間での大量のログオン失敗、普段とは異なるIPアドレスからの接続。こうしたパターンを検知したらアラートを発出する仕組みを整えておくことが重要です。SIEMツールやWindowsのイベントサブスクリプション機能を活用すると、複数端末のログを集約して監視できます。
なお、古いWindows(7/8など)では、失敗ログオン(4625)が既定では記録されない場合があります。監査ポリシーで「ログオンの監査(失敗)」が有効になっているかも、あわせて確認しておきましょう。
※参考:NIST|SP 800-63B Digital Identity Guidelines
接続方式別のセキュリティリスク比較
ここまではWindows RDPを中心に解説してきましたが、リモートデスクトップの接続方式はほかにもあります。「いま使っている方式で十分なのか」「別の方式に切り替えるべきか」を判断するには、方式ごとのセキュリティ特性を比較する必要があります。
- Windows RDP(標準機能)
- Chromeリモートデスクトップ
- 商用リモートデスクトップツール
それぞれの特徴とリスクを整理したうえで、比較表にまとめます。
Windows RDP(標準機能)
Windows Pro / Enterprise エディションに標準搭載されているリモートデスクトップ機能です。追加コストなしで利用できる反面、セキュリティの設定は管理者が自ら行う必要があります。
本記事で取り上げた攻撃事例の多くはWindows RDPを標的としたものであり、デフォルト設定のまま運用するリスクはもっとも高いといえます。逆に、ここまで解説した対策(MFA・VPN・NLA・ログ監視など)を適切に実施すれば、セキュリティ水準を大幅に引き上げることが可能です。
Chromeリモートデスクトップ
Googleアカウントがあれば無料で利用できるリモートデスクトップサービスです。通信はGoogleのインフラを経由するため、RDPポートをインターネットに直接公開する必要がなく、ポートスキャンによる攻撃リスクは低い構造になっています。
一方で、企業利用の観点ではいくつかの制約があります。
接続ログの詳細な取得が難しいこと、アクセス制御の粒度が粗いこと、そしてGoogleアカウントのセキュリティに依存する点です。個人や小規模チームでの利用には手軽ですが、組織として統制を効かせたい場合は機能面の限界を理解しておく必要があります。
商用リモートデスクトップツール
Splashtop、TeamViewer、AnyDeskなどの商用ツールは、セキュリティ機能があらかじめ組み込まれた状態で提供されます。MFA、接続ログの自動記録、デバイス認証、セッション録画といった機能を管理画面から設定でき、RDPのようにOSレベルで個別に対策を講じる手間が軽減されます。
また、通信がベンダーのサーバーを経由する方式(リレー接続)のため、社内のRDPポートをインターネットに公開する必要がありません。この点はChromeリモートデスクトップと共通ですが、商用ツールはログ管理やアクセス制御の粒度が細かく、組織での運用に適しています。
コスト面ではユーザー数に応じたライセンス費用が発生しますが、セキュリティ対策の設定工数と運用負荷を考慮すると、自前でRDPを堅牢化するよりもトータルコストが低くなるケースもあります。
3つの接続方式を主要な観点で比較すると次のとおりです。
リモートデスクトップ接続方式のセキュリティ比較
| 比較項目 | Windows RDP | Chromeリモートデスクトップ | 商用ツール |
|---|---|---|---|
| コスト | OS標準機能で無料 | 無料 | 有料(ユーザー課金) |
| MFA対応 | 追加設定・外部連携が必要 | Googleアカウントの2段階認証に依存 | 標準機能として搭載 |
| 通信経路 | 直接接続(ポート公開が必要) | Googleサーバー経由 | ベンダーサーバー経由 |
| アクセスログ | Windowsイベントログで取得可能 | 詳細なログ取得が困難 | 管理画面で一元管理 |
| アクセス制御 | OS・GPOで詳細に設定可能 | Googleアカウント単位 | ロール・デバイス単位で制御可能 |
| 運用の手軽さ | 管理者の設定・運用負荷が高い | 導入・利用が容易 | 管理画面で一括設定可能 |
| ベンダー・ツール起因のリスク | 自社の設定・運用に依存 | Googleのインフラ・アカウント保護に依存 | ベンダーの侵害やツール自体の脆弱性の影響を受ける |
| 適した規模 | IT管理体制がある中堅〜大企業 | 個人・小規模チーム | 中小〜大企業まで幅広く対応 |
まとめ
リモートデスクトップは業務の効率化に欠かせないツールですが、とくにWindows RDPをデフォルト設定のまま運用している環境は、ブルートフォース攻撃やランサムウェアの標的となるリスクが高い状態です。Conti・BlueKeep・Phobosといった実際の攻撃事例が示すように、基本的な対策の欠如が深刻な被害に直結しています。
セキュリティ強化のポイントは、対策を優先度順に実行することです。まずはMFA導入・パスワード強化・パッチ適用といったコストをかけずに実施できる基本対策から着手し、次にVPNやIP制限によるネットワーク防御、そしてログ監視やセッション管理による運用面の強化へ段階的に進めていくのが現実的な進め方です。
自社のリモートデスクトップ環境がどの段階まで対策できているか、本記事のチェックポイントと照らし合わせて確認してみてください。対策の優先度は環境によって異なりますが、「RDPポートの直接公開」と「パスワードのみの認証」が残っている場合は、この2点の解消を最優先で進めることをおすすめします。
リモートデスクトップ環境を含む社内システム全体の脆弱性を網羅的に把握したい場合は、専門家による脆弱性診断や、外部公開資産を継続的に監視するASM(Attack Surface Management)の活用が有効です。ユービーセキュアでは、脆弱性検査ツール「Vex」、専門家による脆弱性診断サービス、ASMサービスを組み合わせて提供しており、自社のリモートデスクトップを含むセキュリティ運用設計をご相談いただけます。お気軽に無料相談をご活用ください。
