2011 年 8 月 31 日

Microsoft のリモートデスクプロトコル (RDP) 経由で拡散する新しいインターネットワークが報告されました。このワームは、RDP を実行する他のホストについて感染ホストのサブネットをスキャンし、事前設定されたユーザー名 (「administrator」を含む) とパスワード一式を使用してそれらへのアクセスを試みます。Microsoft によると、このワームはリモートで制御および更新できるため、感染ホストはサービス拒否攻撃またはその他の操作を実行するように命令される場合があります。したがって、ワームの動作は時間と共に変化する可能性があります。

検知とクリーニングを含めたこのワームに関する詳細情報は、こちらでご覧いただけます。http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Worm:Win32/Morto.A

この脅威は、いくつかの基本的なベストプラクティスに従うことによって緩和できます。まず、ユーザーアカウントに強力なパスワードの選択が実施されていることを確かめます。AWS がローンチ時にインスタンスに自動で割り当てるユニークな「管理者」アカウントパスワードがこの推奨に適合しており、総当りパスワード推測攻撃を実行不可能にするに十分な強度を備えていることにご留意ください。この自動で割り当てられたパスワードを上書きするために EC2 Windows 設定サービスを使用している場合は、選択したパスワードが暗号学的に強力であることを確認してください。強力なパスワードの作成における Microsoft のガイダンスは、こちらでご覧いただけます。http://technet.microsoft.com/en-us/library/cc736605%28WS.10%29.aspx Windows 構成サービスの使用手順は、こちらでご覧いただけます。http://docs.amazonwebservices.com/AWSEC2/latest/UserGuide/index.html?appendix-windows-config.html

次に、インバウンド RDP (TCP 3389) を正規のRDP セッションの発信元となるソース IP アドレスのみに制限していることを確認します。これらのアクセス制限は、EC2 セキュリティグループを適切に設定することによって適用できます。セキュリティグループを適切に設定して適用する方法に関する情報と例については、次のドキュメントを参照してください。http://docs.amazonwebservices.com/AWSEC2/latest/UserGuide/index.html?adding-security-group-rules.html