次の方法で共有

ブルート フォース攻撃が原因で Azure VM に RDP で接続できない

適用対象: ✔️ Windows VM

インターネットに接続する仮想マシン上のオープン ポートは、ブルート フォース攻撃のターゲットです。 この記事では、Azure 仮想マシン (VM) が攻撃を受けているときに発生する可能性がある一般的なエラーと、VM をセキュリティで保護するためのベスト プラクティスについて説明します。

現象

  1. Azure で Windows VM にリモート デスクトップ プロトコル (RDP) 接続を行うと、次の一般的なエラー メッセージが表示されることがあります。

    • 内部エラーが発生しました。
    • リモート デスクトップ サービス セッションが終了しました。 ネットワーク管理者が接続を終了した可能性があります。 もう一度接続するか、テクニカル サポートにお問い合わせください。

  2. パブリック IP アドレスを使用して RDP を実行することはできませんが、プライベート IP アドレスを使用して RDP を実行できる場合があります。 この問題は、攻撃が原因でパフォーマンスのスパイクが発生しているかどうかによって異なります。

  3. セキュリティ イベント ログには、失敗したログオン試行が多数あります。

    • ログオンからのイベント 4625 は、ほぼ 1 秒ごとにログに記録され、エラーの理由 Bad ユーザー名またはパスワード

    セキュリティ イベント ログの失敗したログオン試行イベント 4625 のスクリーンショット。

    [イベントのプロパティ - イベント 4625] ウィンドウのスクリーンショット。[エラーの理由] が [不明なユーザー名] または [無効なパスワード] であることを示しています。

シリアル コンソールを使用して VM に接続する

VM に正常に RDP 接続できない場合は、PowerShell と Serial Console を使用して ログ エントリを確認できます。

  1. コマンド ラインで、 powershell.exeを実行して PowerShell を起動します。

  2. PowerShell で、次のコマンドを実行します。

    remove-module psreadline
Get-WinEvent -FilterHashtable @{LogName='Security'; StartTime=(Get-Date).AddDays(-1); Id='4625'}

また、 Remote PowerShell を使用して Get-WinEvent コマンドを実行することもできます。

原因

ログオン試行の失敗を示す最近のログ エントリが多数ある場合、VM でブルート フォース攻撃が発生している可能性があり、セキュリティで保護する必要があります。 このアクティビティによって RDP サービス リソースが消費され、RDP 経由で正常に接続できなくなる可能性があります。

ソリューション

このシナリオでは、RDP TCP ポート 3389 がインターネットに公開されています。VM のセキュリティを強化するには、以下に示す 1 つ以上の方法を使用してください。

  1. Just-In-Time アクセスを使用して、VM の公開ポートをセキュリティで保護します。

  2. Azure Bastion を使用して Azure portal 経由で安全に接続し、ネットワーク セキュリティ グループ (NSG) でインターネットからの RDP トラフィックをブロックします。

  3. VPN ゲートウェイを使用して、コンピューターと VM の間に暗号化されたトンネルを提供し、ネットワーク セキュリティ グループ (NSG) 内インターネットからの RDP トラフィックをブロックします。

  4. ネットワーク セキュリティ グループ (NSG) を編集して、より制限を厳しくします。 RDP の受信規則で、特定のインターネット プロトコル (IP) または組織に属する IP の範囲のみを許可します。

    受信 RDP (TCP ポート 3389) ルールの場合、ソースが "Any" または " * " に設定されている場合、ルールは開いていると見なされます。 ルールのセキュリティを向上させるには、 RDP ポートを特定のユーザーの IP アドレスに再指定し RDP アクセスを再度テストします。

  5. Run コマンドを使用して、既定の RDP ポートを 3389 からあまり一般的でないポート番号に変更します。 これは長期的な修正としては推奨されませんが、攻撃を一時的に軽減して VM へのアクセスを回復するのに役立つ場合があります。 Just-In-Time アクセスAzure Bastion、または VPN ゲートウェイを使用することをお勧めします

    Azure Portal の [コマンドの実行] ページにある SetRDPPort コマンドの説明のスクリーンショット。

Note

Azure Security Center を使用して、クラウド リソースのセキュリティ状態を評価します。 Azure Secure Score の推奨事項を使用して、セキュリティの状態を視覚化し、セキュリティ体制を改善します。

次のステップ

お問い合わせはこちらから

質問がある場合やヘルプが必要な場合は、サポート要求を作成するか、Azure コミュニティ サポートにお問い合わせください。 Azure フィードバック コミュニティに製品フィードバックを送信することもできます。