制限されていないVNC

VNCというものがあります。
Virtual Network Computing（VNC）は、ネットワークを通じて別のコンピュータに接続し、そのデスクトップ画面を呼び出して操作することができるリモートデスクトップソフトの一つです。
さまざまなOS環境で利用することができますし、接続先と接続元のOSが同じである必要もありませんので、実に多くの環境で利用することができます。
またVNCのオリジナルのソースコードがGPLで公開されていますので、多くの類似の実装が生み出されています。
正しく利用する分にはとても便利なものです。

通常VNCを使う場合には、いくつかの安全対策を施します。
こういったものです。

• VNCそのものの機能で認証できた場合にだけ利用できるようにする設定を実施する
• VPNやファイアウォールなどの機能でVNCを提供する機器に特定の接続元からしか接続できなくする

こんな感じです。
このように設定した安全対策機能で許容できる範囲でだけVNCを公開することが一般的です。

2022年7月、インターネットの監視活動の中で、VNCのデフォルトポートである5900の利用が大きく増加している事象が確認されました。
調査を進めていくと、なんとなんの制限もされていないVNCが多く公開されていることが確認されました。

いろいろな国や地域でVNCが無制限な状態で公開されていることが確認されています。
特に多いのは、中国、スウェーデン、アメリカなどです。
合計で8000を超えるVNCが無制限で公開されていました。

数にも驚きますが、そのVNCで公開されている機器の内容にも驚かされます。
単なる個人のPCのデスクトップのようなものにとどまらず、水処理プラント、製造プラント、研究施設などの重要インフラストラクチャに属する機器も含まれていました。
そういった機器からはその環境で動作している産業用機器の管理機構まで操作することができてしまうケースもありました。
ガスの制御機構、なにかのシステムのポンプの制御機構、なにかの製造現場のSCADAの管理画面、そういったものも含まれていました。

VNCに限った話ではないのですが、こういった技術的な機構の利用は利便性を大きく向上させます。
しかしその一方で、組み合わせてしかるべき安全機構や対策というものが確かに存在します。
認証設定の徹底、アクセス制御の実施、定期的なパッチ適用、そういったものはこういった方面でも重要です。
これらの技術的対策に加えて、こういった環境を利用するすべての従業員にサイバーセキュリティの正しい認識を促すトレーニングプログラムを実施するなどの人的対策が必要ということかもしれません。

参考記事（外部リンク）：Exposed VNC A Major Threat To Critical Infrastructure Sectors
blog.cyble.com/2022/08/12/exposed-vnc-a-major-threat-to-critical-infrastructure-sectors/