CitrixとMicrosoftのRDP(リモート・デスクトップ・プロトコル)の両方が,長い間,幅広く使用されてきた。これらのテクノロジーを使用すれば,リモートでシステムに接続し,デスクトップ・アプリケーションや管理ツールを使用できる。あなたがこれらのテクノロジーを日常的に利用しているのであれば,リモート・コンピューティング環境のセキュリティがあるべき姿で保たれているかを考えてみる必要がある。
2,3週間前,Petko Petkovが大変興味深い記事を彼のGNUCITIZEN Webサイトに投稿した。PetkovはGoogleを使用して,.gov,.milおよびその他のドメイン上にある多数のCitrix設定ファイル(.ica)を発見したというのだ。Citrixの設定ファイルに精通している人であれば,これらのファイルからクライアントがサーバーに接続する際に使用する情報を入手できる。サーバーのIPアドレスだけでなく,ユーザー名やパスワードなどの情報が含まれているものもあったという。
ここで最低限言えるのは,.icaファイルに対してGoogleやその他の検索エンジンからインデックスが設定されている状況は明らかに問題であるということだ。実際私は,月曜日にGoogleでほんの少し検索を行い,600以上の.icaファイルを発見した。これらの中には接続情報が完全な形で含まれているものもあった。RDP接続のためのファイルもまた,インターネット上に露出しており,検索エンジンで容易にピックアップできる。Googleでほんの少し検索を行っただけで,300以上のRDP接続ファイルを見つけた。これら2種類のファイルをYahoo!で検索すると,さらに多くの接続ファイルが露出していることがわかる。
ブログの投稿「CITRIX: Owning the Legitimate Backdoor(正当なバックドアの恩恵を受けるCITRIX)」でPetkovは,Citrix接続ファイルを変更してリモートサーバーに接続し,コマンドシェルを含む様々なプログラムを実行するのがいかに容易であるかを説明している。また,スクリプトによって利用可能なサーバーファーム,サーバー,およびアプリケーションも数多く存在する。これらは,侵入者がネットワーク上の「装甲」の裂け目を発見するためには格好の情報源となる。
CitrixやRDPの接続ファイルが検索エンジンで検索されるような状況はあってはあらない。つまりこれらの種類のファイルに対するアクセスは制限する必要がある。さらに,CitrixおよびWindows Terminal Servicesのインストールを確実に,厳しく制限する必要がある。そうしなければ,いずれ侵入者がやって来て,力ずくで入り込もうとするだろう。さらに,受信者を欺いて重要なデータの公開や,ファイルのアップロード/ダウンロードなどを実行させるような,改ざんされたCitrixおよびRDP接続ファイルを配信する電子メールやWebベースの攻撃に対する防御策も必要になる。
CitrixおよびRDPのリスクに関する追加情報は,Petkovのブログ投稿「Remote Desktop Command Fixation Attacks(リモートデスクトップコマンド固定攻撃)」,および「Clear(解決)」投稿を参照していただきたい。これらの投稿で,彼は自身の懸念事項を詳しく調べ,その他多数の関連する文献へのリンクを提供している。
誰かがこのようなリスクに遭遇するたびに,侵入者の活動はより活発になる。このような情報が侵入者の活動をどのように活性化するかの概要を把握したい場合は,SANS InstituteのInternet Storm Centerにアクセスし,「Citrixポート1494のトラフィックパターン」,および「RDPポート3389のトラフィックパターン」を参照していただきたい。Petkovのブログ投稿と一致するスパイク(急な山形)がトラフィックにあることに気づかれるだろう。
