リモート デスクトップ プロトコルは、公開されたポート 3389、脆弱なパスワード、ノイズの多いログイン テレメトリにより、ボットやスキルの低い攻撃者にとって容易な存在となるため、依然として最上位の標的となっています。 RDP ブルート フォース攻撃を防ぐ方法を尋ねる場合、簡単に言うと、露出を減らし、認証強度を高め、鷹のようにログを監視することです。 VPN または RD ゲートウェイの背後にポート 3389 を非表示にし、すべてのアクセス ポイントで MFA を強制し、ネットワーク レベル認証を有効にし、15 ~ 30 分間の試行回数を 5 ~ 10 回の間でアカウント ロックアウト ポリシーを設定し、イベント ID 4625 のスパイクを継続的に監視します。攻撃者のスキャン、推測、ピボットは年々速くなっているため、プレイブックには希望的観測ではなく、具体的なコントロールが必要です。
TL;DR: クイック保護チェックリスト
- VPN または RD ゲートウェイの背後にポート 3389 を非表示にして、公衆への公開を排除します
- すべての RDP アクセス ポイントに多要素認証を要求する
- セッション前の検証のためにネットワーク レベル認証 (NLA) を有効にする
- アカウントのロックアウトを設定: 5 ~ 10 回の無効な試行、15 ~ 30 分の継続時間、15 分のリセット
- Windows イベント ID 4625 (失敗) および 4624 (成功) を継続的に監視する
- IP ホワイトリストと地理的ブロックを使用してソース アクセスを制限する
- 最小長が 14 文字以上の強力なパスワード ポリシーを維持する
RDP ブルート フォース攻撃が成功する理由
Open RDP は、一括スキャンで数分で検出できること、多くの場合ローカル管理者権限で実行されること、そして 1 つの弱いパスワードがランサムウェアにつながる可能性があることなどの点で魅力的です。ポート 3389 は、看板広告アクセスのように公共のインターネット上に公開されており、自動化ツールをログイン画面で使用するのに専門知識は必要ありません。パスワード攻撃は劇的にエスカレートしており、 Microsoft は 74% の増加を報告 2021 年から 2022 年だけでも。そのため、ブルート フォース攻撃防止に関するガイドは常に、3389 を公共のインターネットに公開しないことから始まり、ログオン画面に到達する前に MFA やロックアウト ルールなどのレイヤーを追加します。
2025 年半ばに行われた FDN3 などのネットワークによる最近のキャンペーンでは、大規模なパスワード スプレーが、数千のシステムにわたる SSL VPN および RDP デバイスをいかに迅速に標的にすることができるかを示しました。攻撃は、セキュリティ チームの準備が整っていない特定の時間帯にピークに達しますが、基本が崩れたままであるため、このパターンが繰り返されます。ログオン失敗の突然の急増、多くのユーザー名での繰り返しの試行、国をまたぐ IP は明らかな兆候ですが、適切な監視を行わずにそれらに気づく頃には、被害が始まっていることがよくあります。賭け金は高いです: Verizon の 2025 年のデータ侵害調査報告書 は、すべての侵害の 44% にランサムウェアが存在することを発見しており、依然として RDP がこれらの攻撃の優先的な侵入ポイントとなっています。
最新のエンドポイント検出では、セッション レベルの RDP データをつなぎ合わせることができるため、対応者はスプレー アンド プレイのパターンをより早く発見できます。しかし、予防は常に検出に勝ります。そのため、次のセクションでは、攻撃がインシデントになる前に阻止する制御に焦点を当てます。
RDP ブルート フォース攻撃を防ぐ方法: コアの保護方法
最速の利益は、ネットワーク露出の削減、強力なサインイン ゲート、および組み込みの Windows ポリシーによってもたらされます。 RDP ブルート フォース攻撃を防ぐ方法を習得するには、これらすべての層を組み合わせた RDP ブルート フォース保護を実装する必要があります。
まず開いたドアを閉めてください: 公共施設 3389 を削除してください
RDP を VPN の背後に隠すか、TLS 暗号化を使用してポート 443 にリモート デスクトップ ゲートウェイを展開します。既知の IP とゲートウェイの短いホワイトリストは、生のポート転送よりも毎回優れています。この措置により、ノイズが削減され、パスワード推測の量が大幅に減少します。インターネットからポート 3389 への直接アクセスをブロックするように境界ファイアウォールを構成し、すべての正当なトラフィックを安全なゲートウェイ経由でルーティングします。攻撃者は到達できないものに総当たり攻撃を行うことはできません。
RDP の多要素認証をオンにする
プッシュスパム耐性のある MFA は、番号照合やハードウェア キーによるアプリ プロンプトと同様、パスワードのみによる侵入のほとんどをブロックします。ゲートウェイ レベルで、または緊密なディレクトリ統合を備えた RDP プロバイダー経由で MFA を追加します。 Microsoft の調査によると、侵害されたアカウントの 99% 以上で MFA が有効になっていないことから、この制御が重要である理由がすべてわかります。ネットワーク ポリシー サーバーと Azure AD の統合を使用して RD ゲートウェイ経由でデプロイするか、TOTP およびハードウェア トークンをサポートするサードパーティ ソリューションを使用します。
ネットワークレベル認証 (NLA) を要求する
NLA は、デスクトップが完全にロードされる前に認証を強制し、失敗したセッションによるリソースの消耗を削減し、攻撃対象領域を減らします。 NLA と TLS を組み合わせて、暗号化された資格情報を送信します。これにより、検証は Credential Security Support Provider (CredSSP) を使用した接続プロセスの最初に移行されます。査読済みの調査によると、NLA は、未認証セッションによるサーバー リソースの消費を防ぐことで、アクティブな攻撃中の RDP 遅延を 48% 削減できます。 [システム プロパティ] の [リモート] タブで、[ネットワーク レベル認証を実行しているコンピュータからの接続のみを許可する] を選択して有効にします。
アカウント ロックアウト ポリシーを適用する
ボットが永久に推測できないように、適切なしきい値とロックアウト ウィンドウを設定します。これらは古典的な RDP ブルート フォース攻撃の防止方法であり、正しく設定されていれば引き続き機能します。 [アカウント ポリシー] のローカル セキュリティ ポリシー (secpol.msc) で、次のパラメータを使用して構成します: 無効な試行のしきい値は 5 ~ 10 分、ロックアウト期間は 15 ~ 30 分、カウンターは 15 分後にリセットされます。これらの値は、Windows セキュリティの推奨事項や業界のフレームワークを含む、2025 年の複数のセキュリティ ベースラインにわたるコンセンサスから得られます。ロックされたアカウントごとにサポート チケットが生成されるため、セキュリティとヘルプ デスクの負荷のバランスをとります。
ホワイトリストとジオフェンシングを使用する
ドアをノックできる人を制限してください。国別ブロック、ASN ブロック、および短い静的ホワイトリストにより、多くの小規模オフィス設定ではトラフィックがほぼゼロに減少します。これらのルールをファイアウォール レベルで構成し、取引を行わない地理的領域全体をブロックし、リモート ワーカーの特定の IP 範囲へのアクセスを制限します。一部の環境では、営業時間内のみ RDP を許可する時間ベースのアクセス制御を実装することで、これをさらに進めています。
パスワードとローテーションを強化する
長いパスフレーズ、管理者ごとに一意のシークレット、およびパスワード マネージャーを使用します。これは基本的な RDP ブルート フォース保護ですが、依然として多くの侵害がここから始まります。グループ ポリシーを通じて強制される複雑さの要件に従って、パスワードの最小長を 14 文字に設定します。パスワードが長ければ長いほど、自動化ツールがブルートフォース手法を突破するのが難しくなります。 1 つの認証情報が侵害されると、インフラストラクチャ全体に波及する可能性があるため、異なる管理アカウント間でのパスワードの再利用は避けてください。
Windows と RDP スタックを速やかに更新する
既知の RDP の欠陥にパッチを適用し、サーバーとクライアント全体で更新をロールします。古い脆弱性が依然として現われており、パッチが適用されていないシステムの方が簡単であるため、攻撃者は最初にパッチを適用していないシステムをターゲットにします。 Windows Update、WSUS、または Intune ベースラインを使用して定期的なパッチ適用スケジュールを実装し、既知のエクスプロイトに対して RDP インフラストラクチャを最新の状態に保ちます。
失敗したログインを収集してアラートを送信する
Windows セキュリティ ログを SIEM に転送し、イベント ID 4625 および 4624 を監視し、異常なボリューム、ソース地域、およびサービス アカウントのヒットについて警告します。ブルート フォース攻撃を防ぐ方法を学ぶには、常にログに目を光らせることが含まれます。これは、予防的制御が失敗した場合に事後検出が被害を制限するためです。 1 時間以内に 1 つの IP からの試行が 10 回以上失敗した場合のアラートを構成し、RDP アクティビティを示すタイプ 10 (リモート対話型) およびタイプ 3 (ネットワーク) のログオン パターンを監視します。
これらはそれぞれ単独でリスクを軽減します。これらが連携して、実際の圧力にも耐える RDP ブルート フォース攻撃防止手法を形成します。
| 方法 | 実装の複雑さ | 設定する場所 | 主なメリット |
| VPN/RD ゲートウェイ | 中くらい | ファイアウォールまたはRDゲートウェイ(ポート443) | パブリックポート3389の露出を排除 |
| 多要素認証 | 中くらい | ゲートウェイ、ID プロバイダー、または RDP アドオン | パスワードのみのログイン試行を停止します |
| ネットワークレベルの認証 | 低い | システムのプロパティ → リモート → NLA チェックボックス | セッション作成前の認証 |
| アカウント ロックアウト ポリシー | 低い | secpol.msc → Account Policies → Account Lockout | 無限のパスワード推測を制限する |
| イベントログの監視 | 中くらい | SIEM/EDR または Windows イベント ビューア | 攻撃パターンの早期発見 |
| IP許可リスト/ジオフェンス | 低い | ファイアウォール ルールまたは IPS/Geo ポリシー | 接続元へのアクセスを制限します |
| 強力なパスワードポリシー | 低い | ドメイン GPO またはローカル セキュリティ ポリシー | ブルートフォースの難易度が上がります |
| 定期的なパッチ適用 | 低い | Windows Update、WSUS、または Intune | 既知の RDP 脆弱性を解決します |
アクティブな RDP ブルート フォース攻撃を検出する方法
コントロールの前に、基本を確認してください。スパイクはアクティブな攻撃を示しているため、Windows セキュリティ ログのイベント ID 4625 で失敗したログオン試行を監視します。同じ送信元 IP から数分以内に数十または数百の 4625 イベントが表示される場合、ブルート フォースの試みをリアルタイムで監視していることになります。ネットワーク レベル認証の採用により認証フローが変更されたため、最新の検出では、タイプ 3 ログオン (NLA 経由のネットワーク認証) に続いてタイプ 10 ログオン (リモート対話型) が検索されます。
単一の IP からの複数のユーザー名にわたる失敗したログイン パターンに注意してください。これは、標的型攻撃ではなく、パスワード スプレーの兆候を示します。地理的な不一致も重要です。ユーザーが北米で働いているのに、東ヨーロッパやアジアからのログイン試行が見られる場合は、直ちに調査する価値のある危険信号です。一部の攻撃者は実際の位置を隠すために住宅用プロキシを使用しますが、それでも音量とタイミングのパターンによってその存在が明らかになります。
これらのイベントを集中ログ システムまたは SIEM に転送すると、複数のサーバー間でアクティビティを関連付けることができます。大企業にとって正常に見えるものでも、中小企業にとっては疑わしい可能性があるため、環境の通常の認証パターンに基づいてアラートのしきい値を設定します。目標は、被害が発生した後にそれを文書化するだけではなく、ブルート フォース攻撃とそのパターンを成功する前に阻止する方法を学ぶことです。
進行中の RDP ブルート フォース攻撃を停止する方法
ログオンまたは認証情報のスプレーが繰り返し失敗した場合に監視によってアラートが発生する場合は、手順を順番に実行してください。まず、境界ファイアウォールで IP または範囲をブロックして、送信元を封じ込めます。ボリュームが大きい場合は、調査中に一時的なレート制限を適用して攻撃を遅らせます。攻撃の発生をリアルタイムで確認できるようになったら、自動化ツールが追いつくまで待つ必要はありません。
次に、対象のアカウントのパスワードを期限切れにし、他のサービスで再利用されていないか確認することで、ID を安定させます。侵害が疑われる場合は、アクセスを阻止する方が侵害後のクリーンアップよりも優先されるため、アカウントを無効にします。そのアカウントの最近の成功したログインを確認して、攻撃者が気づく前にすでにログインしていたかどうかを判断します。
3 番目に、アクセスに RD ゲートウェイまたは VPN が必要であることを確認してアクセス パスを検証し、3389 をインターネットに再公開する不正なポート転送を削除します。一部の攻撃は、誰かが数か月前に一時的なファイアウォール ルールを開き、それを閉じるのを忘れたために成功します。 4 番目に、RDP セッション ログ、新しいローカル管理者、サービス インストール、およびスケジュールされたタスクを確認して、副作用を探します。 EDR テレメトリは、攻撃者が短いアクセス ウィンドウ中に仕掛ける永続的な動きを捕捉するのに役立ちます。
最後に、特権アカウントにログオン失敗ストームのルールを追加して検出を調整し、フォローアップのチケット発行をトリガーしてレッスンがデフォルトになるようにします。これらのアクションにより、インシデントが短くなり、検出アラートが発生したときにブルート フォース攻撃による被害を防ぐ方法が正確に示されます。
高度な RDP ブルート フォース保護戦略
特にインターネットに接続するワークロードや外出先の管理者にとっては、いくつかの追加手順が効果的です。 RD ゲートウェイまたはファイアウォールで IP ごとのしきい値を設定し、RDP 失敗したハンドシェイク フラッドに一致する IPS シグネチャを調整します。これにより、ボットがマシンの速度であなたを攻撃することがなくなり、SOC アラートにトリアージのためのより多くのコンテキストが与えられます。ネットワーク エッジでのレート制限により、個々の攻撃者がすべての認証リソースを消費するのを防ぎます。 Black Basta や RansomHub などの主要なランサムウェア グループは、主要な初期アクセス手法として RDP ブルートフォースを採用しています。
最新の EDR は、管理作業と段階的攻撃を区別するのに役立つセッション メタデータを追加し、関連するホスト全体でのハンティングをサポートします。このコンテキストにより、攻撃者が環境内を横方向に移動する際の滞在時間が短縮されます。侵入を数時間で捕捉するのと数日で捕捉するのとの違いは、多くの場合、適切な場所に適切なテレメトリがあるかどうかによって決まります。
リスクの高いホストでは、不要なドライブ、クリップボード、およびプリンターのリダイレクトをオフにします。便利な機能を無効にすると、データを盗み出したり、環境にツールを移動させたりしようとする侵入者にとって摩擦が生じます。最小権限の原則とローカル管理者の分離を組み合わせることで、1 つのアカウントが侵害されてもすべてが引き継がれることはありません。横方向の動きが恐ろしく遅くなると、ブルートフォースの試みを止めるのが簡単になります。
デフォルトの 3389 を変更してポートを難読化しても、決定されたスキャンは停止されませんが、デフォルトのポートのみを攻撃するボットからのノイズは除去されます。変更した場合でも、隠蔽だけでは標的型攻撃に対して失敗するため、引き続き VPN、ホワイトリスト、MFA とペアリングしてください。新しい Windows サーバーで、PowerShell または CMD を使用して管理者特権の端末からリモート デスクトップ設定、NLA、およびファイアウォール ルールを確認します。コマンド ライン経由で RDP を有効にするなどのタスクは、スクリプト化してレビューするとクリーンで再現性が保たれ、これらの手順を変更プロセスに結び付けることで、ドリフトを早期に検出できます。
RDP の衛生管理は、より広範なリモート アクセスのストーリーの一部です。ブラウザまたはサードパーティ製アプリを介してシステムを管理している場合は、それらも監査してください。Chrome リモート デスクトップのセキュリティ リスクたとえば、公開された 3389 と同じくらい多くのログ ノイズが生成される可能性があります。ツール全体の衛生状態が良好であるため、RDP ブルート フォース保護が全体的に強力に保たれます。
結論
これで、「RDP ブルート フォース攻撃を防ぐ方法」に対する明確で階層的な答えが得られました。 VPN またはゲートウェイを使用して露出を低く保ち、MFA、NLA、ロックアウト ポリシーで基準を高め、認証ログを注意深く監視します。これらの手順は、文書化だけでなく、実際の圧力がかかる実際の環境でも機能する、実用的なブルート フォース攻撃の防止を形成します。
これらのコントロールをテストするためのクリーンな環境、または適切なセキュリティを備えた本番環境が必要な場合は、次のことができます。 RDPを購入する 高速接続、素早い I/O のための NVMe ストレージ、適切な監視インフラストラクチャを備えたプロバイダーから提供されます。レイテンシーを低く抑えるためにチームの所在地に一致するデータセンターを選択し、必要なセキュリティ制御をプロバイダーがサポートしていることを確認してください。
リモート デスクトップが必要ですか?
99.95 の稼働時間を誇る、信頼性の高い高性能 RDP サーバー。デスクトップを米国、ヨーロッパ、アジアのすべての主要都市に持ち運べます。
RDPサーバーを取得する
