· RustDesk Team · セキュリティ  · 14 分で読めます

AnyDeskは安全か?暗号化・2024年のセキュリティインシデント・詐欺の実態

AnyDeskは安全か?暗号化、2024年に発生した本番システムのセキュリティインシデント、詐欺グループに悪用される理由を公平に検証し、オープンソースとの比較も解説します。

AnyDeskは安全か?暗号化・2024年のセキュリティインシデント・詐欺の実態

結論を先に言えば、意図的に使う限り、AnyDeskは正規の、概ね安全な商用リモートデスクトップ製品です。理解しておくべきリスクは、AnyDeskがマルウェアである(実際はそうではありません)ということではなく、クローズドソースであること、デフォルトでクラウドを介して接続を仲介する仕組みであること、2024年に注目すべきセキュリティインシデントが起きたこと、そして詐欺師に最も好んで悪用されるツールの1つであることです。以下では、出典に基づいた公平な実態を見ていきます。

簡潔な回答

AnyDeskは標準的で評価の高い暗号化によってセッションを保護し、期待されるレベルのアカウント保護機能も備えています。ヘルプデスクや企業では日常的に、トラブルなく利用されています。ただし、判断する上で重要な注意点が2つあります。1つ目は、独自仕様のクライアントと、デフォルトで接続の仲介を行うAnyDesk自身のクラウドを信頼する必要があるという点です。そのためコードを監査することはできず、ベンダーの運用セキュリティをそのまま引き受けることになります — この点は2024年、もはや抽象論ではなくなりました。2つ目は、一般ユーザーにより影響が大きいと考えられる点として、AnyDeskがリモートアクセス詐欺で好んで使われる小道具になっていることです。どちらもインストール自体を危険にするものではなく、使い方を左右するものです。

AnyDeskがセッションを保護する仕組み

AnyDesk自身のセキュリティ文書によると、セッションはAEADを用いたTLS 1.2で保護され、エンドポイントの検証と中間者攻撃(MITM)対策としてRSA-2048による非対称鍵交換が行われ、256ビットAESによるトランスポート暗号化と、一時鍵交換による完全前方秘匿性(PFS)も備えています。アカウント面では、AnyDeskは無人アクセス向けの二要素認証(TOTP)、接続を許可する相手を制限するアクセス制御リスト(許可リスト)、ソルト付きパスワードハッシュに対応しています。(AnyDeskの一部資料ではより新しいTLSバージョンが言及されていることもあるため、最新の詳細については公式ページを正とみなして確認してください。)

これらは堅実で業界標準的な保護策であり、まともな競合製品が採用しているものと同種のレベルです。トランスポート層に関しては、特に懸念すべき点はありません。興味深いのは暗号スイートではなく、信頼モデル人間の行動に関する問題です。

2024年のAnyDeskセキュリティインシデント:実際に何が起きたのか

2024年初頭、AnyDeskは本番システムに影響を及ぼすセキュリティインシデントを公に公表しました。Infosecurity MagazineAkamaiのセキュリティアナリストによると、攻撃者は内部インフラへのアクセス権を取得し、ソースコードとコード署名用の資材を入手しました。AnyDesk自身の説明によれば、その対応として外部のフォレンジック専門家の関与、セキュリティ関連証明書の失効・再発行、再署名済みクライアントビルドの配布、そして予防措置としてのWebポータルパスワードのリセットが行われました。

AnyDeskの立場も公平に見れば、同社はエンドユーザーのデバイスには影響がなかったと述べており、また、攻撃者が顧客のマシンに接続するために使えるような秘密鍵、トークン、パスワードを保存しない設計になっているとしています。正確な日付や数字については当時さまざまに報じられていたため、本記事を含むいずれか1つの要約だけに頼らず、AnyDeskのアドバイザリと中立的な報道を確認して詳細を確かめてください。

正直なところ、ここから得られる教訓は「AnyDeskだけが特別に安全性が低い」ということではありません。主要なリモートアクセスベンダーはどこも、何らかのインシデント履歴を抱えています。本当の教訓はベンダー集中リスクにあります。つまり、セッションを仲介するインフラとアカウントデータを第三者が運用している場合、そこで発生する侵害は、自分では選ぶことも防ぐこともできなかった侵害だということです。

最大のリスクはバグではなく詐欺

ほとんどの個人ユーザーにとって、AnyDeskに関連する最大の危険はCVE(脆弱性情報)とは無関係です。それはソーシャルエンジニアリングです。FBIは警告しており、テクニカルサポート詐欺師は被害者にリモートデスクトップソフトウェアをインストールさせ、そのアクセス権を使って金融口座から資金を抜き取ることを常套手段としています。AnyDeskはこうした手口に頻繁に登場するツールであり、AnyDesk自身も、これほど頻繁に悪用されているからこそ悪用防止のガイダンスを公開しています。

なぜ特にAnyDeskが狙われるのでしょうか。無料でダウンロードでき、数秒でインストールでき、そして何より重要なのは、操作される側のユーザーがアカウントを作成する必要がないという点です。この手軽さは、正当なサポート用途では利点になりますが、詐欺師にとっては格好の贈り物です。詐欺師は電話やメールでターゲットに接触し、緊急性を装った「問題」をでっち上げ、フルリモートコントロールの許可を与えるよう誘導します。

衝撃的な見出しの陰でしばしば見落とされる、公平に見るべきポイントがここにあります。**これは利用上のリスクであり、AnyDeskの脆弱性ではありません。**まったく同じ手口は、TeamViewer、Chrome Remote Desktop、あるいはRustDeskでも通用してしまいます。電話口の見知らぬ相手に自ら鍵を渡してしまえば、どれほどAESで守られていても意味がありません。防御策を知りたい方は、リモートデスクトップ詐欺を避ける方法で別途まとめていますので参考にしてください。同じ考え方はChrome Remote Desktopは安全かという問いにも当てはまります。

クローズドソースとクラウド仲介:信頼の問題

ここでAnyDeskとRustDeskのモデルは分かれます。暗号化の質が良いかどうかではなく、何を信じるしかないかという点においてです。

AnyDeskは独自仕様(プロプライエタリ)です。クライアントのソースコードを読むことも、自分でビルドすることも、動作を独自に検証することもできません。バイナリが謳われたとおりに動作することを、AnyDeskを信じるしかないのです。そしてデフォルトでは、セッションはAnyDeskのクラウドを介して仲介されるため、そのインフラの可用性とセキュリティはベンダー側の管理に委ねられます — 2024年の事件がそれを如実に示しました。AnyDeskの上位プランではオンプレミス版のアプライアンスが提供されており、導入すればこのギャップを狭めることができます。

RustDeskは、これら2つの前提のどちらにおいても反対側の立場から出発します。RustDeskはAGPLのもとでオープンソース化されているため、クライアントを監査してビルドでき、独自仕様のバイナリを鵜呑みに信頼する必要がありません。そして、ID/ランデブーサーバーとリレーをセルフホストできるため、セッションを仲介するインフラは第三者のものではなく自分のものになります — まさに2024年が具体的に示したベンダー集中リスクへのさらされ方です。これはデータ主権を重視した設計も後押しできますが、エンドポイントの所在地、データ保持、法的義務については、それでも個別に評価する必要があります。

同じように公平を期すなら、これは信頼をなくすのではなく、その置きどころを移すものです。コードが公開されているため、RustDesk自身の不具合も公開されており、最新リリースや脆弱性情報を追跡してください。そして、監査可能でセルフホストされたインフラは出発点であって、保証ではありません。セッションは依然としてエンドポイント間を直接流れますし、サーバーへのパッチ適用の責任は自分自身にあります。

結局、AnyDeskは安全なのか?

意図的かつ正当な用途であれば、答えはイエスです。標準レベルの暗号化と妥当なアカウント管理機能を備えた成熟した製品であり、日々大規模に、安全に利用されています。これまでの実績が示すとおり、相応に安全なものとして扱って差し支えありません。

ただし、正直に言うべき留保点もあります。デフォルトでクラウド仲介・クローズドソースというモデルである以上、AnyDeskの運用セキュリティを信頼するしかなく、それは2024年に実際に打撃を受けました。そして、現実世界で最もよく起きる被害は、インストールのしやすさを悪用する詐欺師によるものであり、暗号技術の問題ではなく人間の問題です。こうしたトレードオフに納得できない場合は、オープンソースでセルフホストできる代替製品であれば、保証の前提そのものを変えられます。コードを監査でき、仲介を自分でコントロールできる代わりに、自分でサーバーを運用するコストがかかります。

どのツールを選ぶにせよ、被害を防ぐ上で最も効果的なルールは、最もコストのかからないものです。自分に連絡してきた相手に頼まれたからといって、リモートアクセスソフトウェアを絶対にインストールしないことです。

Frequently asked questions

AnyDeskは使用しても安全ですか?

正当な用途であれば、AnyDeskは成熟した、概ね安全な商用リモートデスクトップツールです。標準的なトランスポートセキュリティでセッションを暗号化し、二要素認証やアクセス制御リストも備えています。注意すべき点は2つあります。1つはクローズドソースであり、デフォルトでクラウドを介して接続を仲介する仕組みであること。もう1つは、実際に最大の危険をもたらすのはソフトウェアの欠陥ではなく、被害者を騙してインストールさせるテクニカルサポート詐欺師であるという点です。

AnyDeskはハッキングされたのですか?

2024年初頭、AnyDeskは本番システムに影響を及ぼすセキュリティインシデントを公表しました。この事案では、攻撃者がソースコードとコード署名用の資材を取得しました。AnyDeskは証明書を失効させ、再署名済みのクライアントを配布し、Webポータルのパスワードをリセットしました。エンドユーザーのデバイスには影響がなかったとされています。正確な範囲と日時については、AnyDesk自身のアドバイザリと中立的な報道を確認してください。

詐欺師はなぜAnyDeskを悪用するのですか?

無料で入手でき、インストールが速く、操作される側のユーザーがアカウントを作成する必要がないため、AnyDeskはテクニカルサポート詐欺師が好んで使うツールです。詐欺師は電話やメールで被害者に接触し、言葉巧みにリモートアクセスの許可を得ようとします。これは利用上のリスクであり、AnyDesk自体の脆弱性ではありません。同じソーシャルエンジニアリングの手口は、RustDeskを含むあらゆるリモートデスクトップツールでも通用してしまいます。

AnyDeskの暗号化は安全ですか?

AnyDeskのセキュリティ文書によると、AEADを用いたTLS 1.2、RSA-2048による非対称鍵交換、256ビットAESによるトランスポート暗号化に加え、完全前方秘匿性(PFS)が採用されています。これらは業界標準といえる保護策です。注意点は、クローズドソースのクライアントと、デフォルトで接続の仲介を担うAnyDeskのクラウドを信頼する必要があるということです。つまり、自分でコードを監査することはできず、ベンダーの運用セキュリティに依存することになります。

ブログに戻る