リモートデスクトッププロトコルは、公開されているポート 3389、弱いパスワード、ノイズの多いログインテレメトリーのために、ボットとスキルの低い攻撃者の格好のターゲットです。RDP ブルートフォース攻撃を防ぐ方法を検討している場合、短い答えは、露出を減らし、認証強度を上げ、ログを注視することです。ポート 3389 を VPN または RD Gateway の背後に隠し、すべてのアクセスポイントで MFA を強制し、ネットワークレベル認証を有効にして、アカウントロックアウトポリシーを 5 ~ 10 回の試行回数に 15 ~ 30 分の期間で設定し、イベント ID 4625 の急増を常に監視します。攻撃者は毎年スキャン、推測、ピボットをより速く行うため、ポリシーには夢想的な考えではなく実具体的な制御が必要です。
要点: 保護対策チェックリスト
- ポート3389をVPNまたはRD Gatewayの背後に隠して、公開露出を排除する
- すべてのRDPアクセスポイントに多要素認証を要求する
- ネットワークレベル認証(NLA)を有効にしてセッション前の検証を実施する
- アカウントロックアウトを設定:5~10回の無効な試行、15~30分間のロック、15分のリセット
- WindowsイベントID 4625(失敗)と4624(成功)を継続的に監視する
- IPホワイトリストとジオブロッキングを使用してソースアクセスを制限する
- 14文字以上の最小文字数を持つ強力なパスワードポリシーを維持する
RDPブルートフォース攻撃が成功する理由
公開されたRDPは数分で大規模スキャンで発見でき、多くの場合ローカル管理者権限で実行され、1つの弱いパスワードがランサムウェアにつながる可能性があるため、魅力的だ。ポート3389は公開インターネットに看板のようにアクセスを宣伝して露出しており、自動化ツールはログイン画面を叩き続けるのに専門知識を必要としない。パスワード攻撃は劇的にエスカレートしており、 Microsoftは74%の増加を報告している 2021年から2022年だけで。そのため、ブルートフォース攻撃防止に関するあらゆるガイドは、まずポート3389を公開インターネットに露出させないことから始まり、次にMFAやロックアウトルールなどのレイヤーを追加してから誰もがログオン画面に到達するのを防ぐ。
2025年中頃のFDN3などのネットワークからの最近のキャンペーンは、大規模なパスワードスプレー攻撃がSSL、VPN、RDPデバイスを数千のシステム全体でターゲットにする速さを示した。セキュリティチームの準備が最も整っていない特定のウィンドウ中に攻撃がピークに達し、基本的なものが壊れているため、パターンは繰り返される。失敗したログオンの急激な増加、多くのユーザー名全体の繰り返し試行、国をまたぐIPは明らかな兆候だが、適切な監視がなければ気づく時には被害が始まっていることが多い。ステークは高い: Verizonの2025年データ漏洩調査報告書 すべての漏洩の44%にランサムウェアが存在することを発見し、RDPはこれらの攻撃の優先エントリーポイントのままだ。
最新のエンドポイント検出はセッションレベルのRDPデータを結合でき、対応者がスプレー・アンド・プレイパターンをより早く検出できる。ただし防止は検出に常に勝り、次のセクションが攻撃がインシデントになる前に止めるコントロールに焦点を当てている理由だ。
RDPブルートフォース攻撃を防ぐ方法:コア保護方法
最速のゲインはネットワーク露出の削減、強力なサインインゲート、組み込みのWindowsポリシーから来る。RDPブルートフォース攻撃を防ぐ方法をマスターするということは、すべてのレイヤーを組み合わせたRDPブルートフォース保護を実装することだ。
開いたドアを最初に閉じる:公開3389を削除する
RDPをVPNの背後に隠すか、ポート443でリモートデスクトップゲートウェイをTLS暗号化でデプロイする。既知のIPの短いホワイトリストとゲートウェイは生のポート転送を毎回上回る。この動きはノイズを削減し、パスワード推測の量を劇的に低下させる。周囲ファイアウォールを設定してインターネットからのポート3389への直接アクセスをブロックし、すべての正当なトラフィックをセキュリティで保護されたゲートウェイを経由してルーティングする。攻撃者は到達できないものをブルートフォースできない。
RDPの多要素認証をオンにする
プッシュスパム耐性のあるMFA(アプリプロンプトと数字マッチングやハードウェアキーなど)は、ほとんどのパスワードのみの侵入をブロックする。ゲートウェイレベルまたはディレクトリ統合の強力なRDPプロバイダーを経由してMFAを追加する。Microsoftの研究によると、侵害されたアカウントの99%以上はMFAが有効でなく、このコントロールが重要な理由のすべてを物語っている。RD Gatewayを使用してネットワークポリシーサーバーのAzure AD統合で、またはTOTPとハードウェアトークンをサポートする第三者ソリューションを使用してデプロイする。
ネットワークレベル認証(NLA)を要求する
NLAはフルデスクトップが読み込まれる前に認証を強制し、失敗したセッションからのリソース消費を削減し、攻撃面を減らす。NLAをTLSと組み合わせて暗号化された認証情報の送信を行う。これは認証情報セキュリティサポートプロバイダー(CredSSP)を使用して接続プロセスの最初に検証をシフトする。ピアレビュー済みの研究によると、NLAは認証されていないセッションがサーバーリソースを消費するのを防ぐことで、アクティブな攻撃中のRDPレイテンシを48%削減できる。システムプロパティの[リモート]タブから「ネットワークレベル認証を実行しているコンピュータからのみ接続を許可する」を選択することで有効にする。
アカウントロックアウトポリシーを適用する
適切な閾値とロックアウト期間を設定し、ボットが無限に推測できないようにします。これらはRDPブルートフォース攻撃を防ぐ古典的な方法であり、正しく設定すれば機能します。ローカルセキュリティポリシー(secpol.msc)のアカウントポリシーから設定してください。パラメータは次の通りです。無効な試行の閾値は5~10回、ロックアウト期間は15~30分、リセットカウンターは15分後です。これらの値は2025年のセキュリティベースラインとWindowsセキュリティ推奨事項、業界フレームワークの複数の合意に基づいています。セキュリティとヘルプデスク負荷のバランスを取ってください。ロックされたアカウントは1件のサポートチケットを生成するからです。
許可リストと地理的フェンシングを使用する
ドアをたたける人を制限します。国別ブロック、ASNブロック、短い静的許可リストにより、多くの小規模オフィス環境ではトラフィックをほぼゼロに削減できます。ファイアウォールレベルでこれらのルールを設定し、ビジネスを行わない地域全体をブロックし、リモートワーカーの特定IPレンジへのアクセスを制限します。より厳格な環境では営業時間中のみアクセスを許可するRDP時間ベースのアクセス制御を実装しています。
パスワードを強化し定期的に変更する
長いパスフレーズ、管理者ごとにユニークなシークレット、パスワードマネージャーを使用します。これはRDPブルートフォース攻撃対策の基本ですが、多くの侵害がここから始まります。グループポリシーで最小パスワード長を14文字に設定し、複雑さの要件を実装してください。パスワードが長いほど、自動化ツールがブルートフォース方式でクラックするのは難しくなります。複数の管理アカウント間でパスワードを再利用しないでください。1つの認証情報が漏洩すると、インフラ全体に波及する可能性があります。
WindowsおよびRDPスタックを速やかに更新する
既知のRDPの脆弱性にパッチを当て、サーバーとクライアント全体に更新をロールアウトします。古い脆弱性は今でも実際の環境に存在し、攻撃者はパッチが当たっていないシステムを最初に狙います。なぜなら、より簡単だからです。Windows更新、WSUS、またはIntune基準を使用して定期的なパッチスケジュールを実装し、RDPインフラが既知の悪用から最新の状態に保たれていることを確認してください。
失敗したログインを収集してアラートを設定する
WindowsセキュリティログをSIEMに転送し、イベントID 4625および4624を監視し、異常なボリューム、送信元地域、サービスアカウントへのアクセスをアラートします。ブルートフォース攻撃を防ぐ方法を習得するには常にログを監視することが必要です。予防的な制御が失敗した場合、反応的な検知がダメージを制限するからです。1時間以内に単一のIP から10回以上の失敗試行でアラートを設定し、タイプ10(リモートインタラクティブ)とタイプ3(ネットワーク)のログオンパターンを監視してRDPアクティビティを検知してください。
これらはそれぞれリスクを軽減します。組み合わせると、実際の圧力下でも耐えられるRDPブルートフォース攻撃防止方法が形成されます。
| メソッド | 実装の複雑さ | 設定場所 | 主な利点 |
| VPN/RD Gateway | 中程度 | ファイアウォールまたはRDゲートウェイ(ポート443) | パブリックポート3389への露出を排除 |
| 多要素認証 | 中程度 | ゲートウェイ、アイデンティティプロバイダー、またはRDPアドオン | パスワードのみのログイン試行を防止 |
| ネットワークレベル認証 | 低い | システムプロパティ→リモート→NLAチェックボックス | セッション作成前の認証 |
| アカウントロックアウトポリシー | 低い | secpol.msc → Account Policies → Account Lockout | 無限パスワード推測を制限 |
| イベントログ監視 | 中程度 | SIEM/EDRまたはWindowsイベントビューアー | 早期攻撃パターン検知 |
| IP許可リスト/地理的フェンシング | 低い | ファイアウォールルールまたはIPS/地理的ポリシー | 接続元アクセスを制限する |
| 強力なパスワードポリシー | 低い | ドメイン GPO またはローカルセキュリティポリシー | ブルートフォース攻撃の難易度を上げる |
| 定期パッチ | 低い | Windows 更新、WSUS、または Intune | 既知の RDP 脆弱性を修正する |
アクティブな RDP ブルートフォース攻撃を検出する方法
セキュリティ対策を導入する前に、基本を見落とさないことが重要です。Windows セキュリティログでイベント ID 4625 を監視してください。失敗したログオン試行を追跡することで、急増はアクティブな攻撃を示します。数分以内に同じ送信元 IP から数十または数百の 4625 イベントが表示されたら、ブルートフォース攻撃がリアルタイムで行われています。ネットワークレベル認証の導入により認証フローが変わったため、最新の検出では、NLA 経由のネットワーク認証 (タイプ 3 ログオン) の後にリモートインタラクティブ (タイプ 10 ログオン) を探します。
複数のユーザー名からの同一 IP によるログイン失敗パターンに注意してください。これは標的型攻撃ではなくパスワードスプレー攻撃を示しています。地理的な矛盾も重要です。ユーザーが北米で働いているのに東ヨーロッパやアジアからのログイン試行が見られたら、すぐに調査する価値があります。攻撃者は住宅用プロキシを使用して真の場所を隠すこともありますが、トラフィック量とタイミングパターンは依然として存在を明らかにします。
これらのイベントをセンターログシステムまたは SIEM に転送して、複数のサーバー全体のアクティビティを関連付けてください。環境の通常の認証パターンに基づいてアラート閾値を設定します。大規模エンタープライズでは正常に見えるものが、小規模企業では疑わしい場合があるためです。目標は、被害が発生した後に文書化するのではなく、ブルートフォース攻撃とそのパターンを成功する前に阻止する方法を学ぶことです。
進行中の RDP ブルートフォース攻撃を止める方法
監視がログオン失敗の繰り返しまたは認証情報スプレー攻撃のアラートを発火させたら、順序どおりに対応してください。まず、周辺ファイアウォールで IP または範囲をブロックして送信元を封じ込めます。トラフィック量が多い場合は、調査中に攻撃を遅くするため一時的なレート制限を適用してください。リアルタイムで攻撃が発生しているのが見える場合、自動ツールが追いつくまで待たないでください。
次に、対象アカウントのパスワードを期限切れにして、他のサービスでの再利用をチェックすることで、アイデンティティを安定化させます。侵害の可能性が疑われる場合はアカウントを無効化してください。侵害後のクリーンアップを行うよりも、アクセスを防ぐ方が良いためです。そのアカウントの最近のログオン成功を確認して、攻撃者が気付く前にすでに侵入したかどうかを判断してください。
3 番目に、RD Gateway または VPN がアクセスに必要であることを確認し、3389 をインターネットに再公開している不正なポートフォワーディングを削除することでアクセスパスを検証してください。数か月前に一時的なファイアウォールルールを開いたまま閉じ忘れているため、一部の攻撃が成功します。4 番目に、RDP セッションログ、新しいローカル管理者、サービスインストール、スケジュールされたタスクをレビューして、副作用を検出してください。EDR テレメトリは、攻撃者が短時間のアクセスウィンドウ中に配置する永続化の動きをキャッチするのに役立ちます。
最後に、特権アカウントでログオン失敗ストームのルールを追加し、検出を調整してチケットをトリガーしてフォローアップします。このようにすることで、教訓がデフォルトになります。これらのアクションにより、インシデントは短期化し、検出アラートが発火したときにブルートフォース攻撃による被害を防ぐ方法が正確に示されます。
高度な RDP ブルートフォース保護戦略
特に、インターネットに公開されたワークロードと外出中の管理者にとって、いくつかの追加手順は大きな効果をもたらします。RD Gateway またはファイアウォールで IP ごとの閾値を設定し、RDP ハンドシェイク失敗フラッドに一致する IPS シグネチャを調整してください。これにより、ボットが機械速度であなたをハンマーすることを防ぎ、SOC アラートにトリアージに向けた詳細な情報を提供します。ネットワークエッジのレート制限により、個々の攻撃者があなたのすべての認証リソースを消費することを防ぎます。Black Basta および RansomHub を含む主要なランサムウェアグループは、RDP ブルートフォース攻撃を主要な初期アクセス技法として採用しています。
最新の EDR はセッションメタデータを追加し、通常の管理作業と段階的な攻撃を区別するのに役立ち、関連ホスト全体を検出するのをサポートします。そのコンテキストにより、攻撃者が環境内で横方向に移動するときの対応時間を短縮できます。侵入を数時間以内に検出することと数日で検出することの違いは、多くの場合、適切な場所に適切なテレメトリがあるかどうかにかかっています。
リスクの高いホストでは、不要なドライブ、クリップボード、プリンターリダイレクションをオフにしてください。利便機能を無効化することで、データを流出させたり、ツールを環境内に移動させようとする侵入者の抵抗を高めます。最小権限の原則とローカル管理者分離と組み合わせて、1 つのアカウントを侵害してもすべてを委譲しないようにしてください。横方向の移動が遅くなると、ブルートフォース攻撃を止めるのが簡単になります。
デフォルトの 3389 を変更してポートを難読化しても、決定的なスキャンは止まりませんが、デフォルトポートのみを実行するボットからのノイズを減らします。変更する場合は、VPN、許可リスト、MFA と組み合わせてください。難読化だけでは標的型攻撃に対する防御が不十分です。新しい Windows サーバーでは、昇格されたターミナルから PowerShell または CMD を使用してリモートデスクトップ設定、NLA、ファイアウォールルールを確認してください。RDP をコマンドラインで有効化するようなタスクは、スクリプト化されレビューされた場合、クリーンで再現可能に保たれ、これらのステップが変更プロセスに結び付けられるため、ドリフトが早期に検出されます。
RDP のセキュリティ衛生はより広範なリモートアクセスの話の一部です。ブラウザまたはサードパーティアプリで システムを管理している場合は、それらもについても監査してください。Chrome リモートデスクトップのセキュリティリスク例えば、露出した3389ポートと同じ量のログノイズを生成できます。Good衛生管理ツール全体でRDPブルートフォース保護を強力に保ちます。
結論
これでRDPブルートフォース攻撃の防止方法について、明確で層状の答えが得られました。VPNまたはゲートウェイで露出を最小限に抑え、MFA、NLA、ロックアウトポリシーで対策を強化し、認証ログを継続監視します。これらのステップは実際の環境で実際の圧力下で機能する実用的なブルートフォース攻撃防止です。ドキュメントに記載されているだけではありません。
これらのコントロールをテストするクリーンな環境、または適切なセキュリティを備えた本番環境が必要な場合は、 RDPを購入 高速接続、高速I/O用のNVMeストレージ、適切な監視インフラを備えたプロバイダーから利用できます。チームの場所に合わせたデータセンターを選択し、レイテンシーを低く保ち、プロバイダーが必要なセキュリティコントロールをサポートしていることを確認します。
リモートデスクトップが必要ですか?
99.95%の稼働率を誇る高速で信頼性の高いRDPサーバー。米国、ヨーロッパ、アジアの主要都市で、どこからでもデスクトップを持ち運べます。
RDPサーバーを取得する
