はじめに
マイクロソフトは、2012 年 3 月 14 日、リモート デスクトップ プロトコル (RDP) の脆弱性を修正するセキュリティ更新プログラム MS12-020 を公開しました。影響を受ける OS のバージョンは、すべてのサポートしているバージョンの Windows です。リモートデスクトップを有効にしているコンピューターで、脆弱性を悪用した RDP 通信パケットを受信すると、任意のコードが実行される可能性があります。現時点では攻撃を確認していませんが、30 日以内に有効な攻撃コードが出現する可能性が高いと考えています。お客様におかれましては、 早急にセキュリティ更新プログラムを適用することをお勧めします 。
RDP の脆弱性の内容、対応方法、気を付けておくべき点など、疑問になるだろうと思われる点について Q&A 形式でまとめました。
Q&A
Q. CVE-2012-0002 「リモート デスクトップ プロトコルの脆弱性」の脆弱性を悪用した攻撃・マルウェアは確認されていますか?
A. 現時点 (2012 年 3 月 17 日) では確認していません。
Q. MS12-020 の修正は、リモート デスクトップの接続する側の修正ですか、それとも接続される側の修正ですか?
A. リモート デスクトップの接続される側の修正です。つまり、ポート 3389 をリッスンしているコンピューターが影響を受けますので、接続される側にセキュリティ更新プログラムを適用する必要があります。
Q. 具体的にはどのような修正が加えられていますか?
A. リモート デスクトップ プロトコルのパケットを処理する方法を修正しています。
Q. 回避策にはどのようなものがありますか?
A. 以下の回避方法があります。詳細については、MS12-020 の「リモート デスクトップ プロトコルの脆弱性」の回避策 - CVE-2012-0002 をご参照ください。
- リモートデスクトップ、ターミナルサービスを無効にする
- エンタープライズの境界領域のファイアウォールで、TCP ポート 3389 をブロックする
- ネットワーク レベル認証を有効化する (Windows Vista、Windows 7、Windows Server 2008、Windows Server 2008 R2 でサポート)
Q. ネットワーク レベル認証とはなんですか?
A. これは、RDP 通信を行う前 (リモートデスクトップの画面が表示される前) に認証を行う動作です。リモートデスクトップ有効時にこの設定を選択しておくと、危険性を緩和することができます (攻撃が成功するためには、ユーザー名とパスワードを知っていることが前提となるため)。
Q. 簡単にネットワーク レベル認証の設定にする方法はありますか?
A. サポート技術情報 2671387 に公開されている、Fix it ツールを活用することで、簡単にネットワークレベル認証に設定することができます。
Q. Windows Server 2008、Windows Server 2008 R2 の RD セッション ホスト サーバーでネットワークレベル認証にするにはどうすればよいですか
A. セキュリティ情報 MS12-020 の「リモート デスクトップ プロトコルの脆弱性」の回避策 - CVE-2012-0002 をご参照ください。
Q. Windows Server 2008、Windows Server 2008 R2 の RD セッション ホスト サーバーでネットワークレベル認証にしたときの影響はありますか?
A. ネットワークレベル認証をサポートしていない、Windows XP および Windows Server 2003 クライアントが、RD セッション ホスト サーバーに接続できなくなります。ただし、CredSSP 機能を有効にすると、Windows XP クライアントは接続可能になります。詳細については、サポート技術情報 951608 をご参照ください。
Q. MS12-020 を適用することで、ネットワーク レベル認証の設定は有効になりますか?
A. MS12-020 を適用しても、設定は有効になりません。
Q. Windows XP でネットワーク レベル認証を利用できますか?
A. 利用できません。Windows Vista、Windows 7、Windows Server 2008、Windows Server 2008 R2 で利用可能です。
Q. リモート デスクトップ接続のポート番号を 3389 から別のポート番号に変更することは可能ですか?
A. 可能です。「リモート デスクトップ接続のリッスン ポートを変更するにはどうすればいいですか。」をご参照ください。 ただし、脆弱性を修正するわけではないため、早急に MS12-020 を適用することをお勧めします。
Q. リモートデスクトップ ゲートウェイ (SSL でトンネリング) は影響を受けますか?
A. 影響を受けません 。リモートデスクトップ ゲートウェイは、RPC over HTTPS で通信しますが、SSL (443 ポート) から RDP パケットを取り出し転送するだけですので、CVE-2012-0002 の脆弱性の影響を受けません。
Q. グループ ポリシーでリモート デスクトップを無効にすることは可能ですか?
A. 可能です。詳細については、サポート技術情報 306300 をご参照ください。
Q. MS12-020 のセキュリティ更新プログラムをインストールすることで、リモートデスクトップの画面や動作が変わるなどの変更はありますか?
A. ありません。
Q. MS12-020 のセキュリティ更新プログラムに関する既知の不具合はありますか?
A. 下記 2 点報告されています。対応策など詳細は、サポート技術情報 2667402 をご参照ください。
- Windows 7 または Windows Server 2008 R2 環境に 2667402 のセキュリティ更新プログラムをインストールした後に Service Pack 1 を適用すると、Rdpcorekmts.dll ファイルのバージョン不整合が発生し、リモートデスクトップ接続ができなくなる
- Windows 7 において手動で RDP リスナーを作成している環境 (稀なケースです。通常お使いの場合、該当しません) で、アンインストールに関する問題
Q. CVE-2012-0002 の脆弱性を悪用したマルウェアや攻撃が出現した場合、ウイルス対策ソフトで検知可能か。
A. マイクロソフトは、定義ファイル Exploit:Win32/CVE-2012-0002.A を作成しています。Microsoft Security Essentials および Forefront Endpoint Protection をご利用のお客様は、最新の定義ファイルの状態にすることで、脆弱性を悪用したマルウェアや攻撃からの被害を防ぐことができます。
Q. CVE-2012-0002 の脆弱性を悪用したマルウェアや攻撃が出現した場合、サードパーティのウイルス対策ソフトや IPS/IDS で検知可能か。
A. マイクロソフトは、MAPP プログラムを通じて、ウイルス対策ベンダー、IPS/IDS ベンダーに CVE-2012-0002 に関する詳細情報を提供しています。このプログラムを通じて定義ファイルを作成しているウイルス対策ベンダー、IPS/IDS ベンダーの製品をご利用のお客様は、脆弱性を悪用したマルウェアや攻撃からの被害を防ぐことができます。
2012/3/21 更新 : 一部、わかりにくい表現を修正しました。
2012/4/12 更新 : 既知の不具合を追加しました。
2013/12/13 更新 : NLA に関する Q&A の回答を修正しました。