· RustDesk Team · 導入  · 9 分で読めます

RustDeskコンソールに見覚えのないデバイスが表示される?まず調査を

RustDeskコンソールに見覚えのないデバイスが表示されていませんか?アンチウイルスのサンドボックス実行が原因である可能性はありますが、設定情報の漏えいや不正な登録の可能性をまず排除する必要があります。

RustDeskコンソールに見覚えのないデバイスが表示される?まず調査を

RustDeskコンソールに見覚えのないデバイスが表示されているというだけでは、その原因を特定することはできません。アンチウイルスのサンドボックス実行はよく知られた可能性の一つですが、同じ症状は設定情報の漏えい、不正な登録、トークンの流出、あるいは展開作業のミスによっても発生し得ます。

結論から言うと

一部のアンチウイルス/EDR製品は、見慣れない実行ファイルをクラウド上のサンドボックスで実行します。サーバー設定情報を含むクライアントビルドがサンドボックスに渡され、IDサーバーに到達できる場合、短時間だけ登録されることがあります。しかし、クラウドプロバイダーのIPアドレスや見慣れないハードウェア名は、この説明を裏付ける証拠にはなりません。攻撃者もクラウドホストを利用するためです。この事象を安易に片付ける前に、証拠を保全し、精査してください。

詳細

なぜこれが起きるのか

RustDeskクライアントは、実行され、かつ設定済みのID/ランデブーサーバーに到達できる場合、そのサーバーに登録されます。この仕組みにより、サンドボックス実行が原因である可能性は十分にあり、これは公開されているGitHubスレッドでも議論されています。しかし同時に、設定済みクライアントや有効な展開用素材を入手した者であれば誰でも、同様の登録を発生させ得ることも意味します。

この事象を分類する前に、サーバーの登録ログおよび接続ログ、デバイスが最初に確認された時刻と送信元IP、展開記録、そしてカスタムクライアントの配布経路を確認してください。漏えいの可能性があるパスワード、API/デプロイトークン、サーバー設定やキーは、必要に応じてローテーションしてください。同じ認証情報が他の場所でも使い回されていないか、また、その見覚えのないデバイスがセッションを試みたか、あるいは実際に確立したかどうかも確認してください。

防止する方法

この問題は、コンソールの2つの設定で解決できます。どちらが適しているかは、実際に新規デバイスを積極的にオンボーディングし続けているかどうかによって決まります。

選択肢1 — 新規デバイスの登録を完全に無効化する。 デバイスリストがほぼ安定していて、定期的にマシンを追加していないのであれば、これが最もシンプルな解決策です。設定 → その他 → Webコンソールで新規デバイスを無効化にアクセスしてください。これにより、サンドボックス経由かどうかにかかわらず、新規デバイスは一切登録できなくなります。

選択肢2 — デプロイトークンを必須にする。 定期的に新規デバイスを展開し続けている場合(顧客をオンボーディングするMSPや、新しいマシンをイメージ化するITチームなど)、「新規デバイスを無効化」という一律の設定は、かえって自分の業務の妨げになります。その代わりに、設定 → その他 → 新規デバイスにデプロイを必須化を有効にし、APIトークン(デバイス権限、読み取りと書き込み)を作成した上で、各デバイスのインストール処理でドキュメント化されたデプロイコマンドを実行するようにしてください:

rustdesk --deploy --token <api_token>

正確なフラグはリリースによって変わる可能性があるため、これはあくまで一例として捉え、スクリプト化する前にRustDesk Server Proのドキュメントで最新の構文を確認してください。有効なトークンを提示したデバイスのみが、インベントリに追加されます。サンドボックス化されたアンチウイルススキャンには、そのトークンを知る術も提供する術もないため、登録は失敗します。一方で、実際の展開作業は通常どおり機能し続けます。これは、技術者が各マシンに手動でログインすることなく、RMM経由やスクリプトによるインストールでMSPがデバイスを登録する際にも使われる仕組みです。

関連する、より限定的な制御機能: 登録自体は開放したままにしつつ、確認が済むまで未割り当てのデバイスを表示させたくない場合は、設定 → その他 → 管理者のみが未割り当てデバイスにアクセス可能という設定もあります。これは登録自体を止めるものではありませんが、あなたが確認する前に現れたものを、一般ユーザーが目にしたり操作したりできないようにします。

結果を評価する方法

登録が発生したという事実だけでは、攻撃者が別のエンドポイントを制御していたことの証明にはなりませんが、説明がつくまでは不正な行為として扱うべきです。既知のセキュリティスキャンの時期と一致し、その後のアクセスが一切発生していない短時間の登録であれば、サンドボックス仮説を裏付ける材料になり得ます。想定外のセッション、繰り返される登録、有効な認証情報の使用、あるいは想定していた配布経路以外での設定済みクライアントの配布が見られる場合は、インシデント対応が必要です。

誰がこの質問をするのか

IT管理者であれMSPであれ、新たにサーバーを運用し始めた担当者は、セルフホストサーバーを立ち上げてから数日以内に、登録制御をまだ厳格化していない段階でこの状況に直面しがちです。無害なスキャンと不正な登録はコンソール上では似たように見えることがあるため、早期の調査が重要です。

関連する質問

Frequently asked questions

自分でインストールした覚えのないデバイスが、なぜRustDeskコンソールに表示されるのですか?

アンチウイルスやエンドポイント保護製品のサンドボックス実行によって、一時的な登録が作成されることがあります。しかし、見覚えのないデバイスは、設定情報の漏えい、デプロイトークンの流出、不正な登録、あるいは展開作業のミスを示している可能性もあります。ログ、認証情報、キー、トークン、展開記録によって原因が特定されるまでは、これをセキュリティインシデントとして扱い、その上で新規デバイスの登録を制限してください。

見覚えのないデバイスの登録を完全に止めるにはどうすればよいですか?

デバイスリストが安定していて、定期的にマシンを追加していない場合は、コンソールの「設定 → その他 → Webコンソールで新規デバイスを無効化」から新規デバイスの登録を無効にしてください。これにより、サンドボックス経由かどうかにかかわらず、新規デバイスは一切登録できなくなります。定期的にデバイスをオンボーディングしている場合は、代わりにデプロイトークンを使用し、実際の展開作業が問題なく続けられるようにしてください。

新規デバイスにデプロイトークンを必須にするにはどうすればよいですか?

Webコンソールで「設定 → その他 → 新規デバイスにデプロイを必須化」を有効にし、デバイス権限を「読み取りと書き込み」に設定したAPIトークンを作成します。そして、各新規デバイスのインストール処理で rustdesk --deploy --token <api_token> を実行するようにします(macOSとLinuxではsudoを付与)。有効なトークンを提示したデバイスのみが登録できるため、サンドボックス化されたアンチウイルススキャンは自分自身を登録できません。一方で、RMMやスクリプトによる展開作業は通常どおり継続できます。

無害なアンチウイルススキャンと実際の侵入をどう見分ければよいですか?

既知のセキュリティスキャンの時期と一致し、その後のセッションが一切発生していない短時間の登録であれば、サンドボックスによる説明を裏付ける材料になり得ます。想定外のセッション、繰り返される登録、有効な認証情報の使用、あるいは想定していた配布経路以外で設定済みクライアントが配布されているといった状況は無害とは言えず、インシデント対応が必要です。

ブログに戻る
RustDesk無人アクセス設定ガイド

RustDesk無人アクセス設定ガイド

RustDeskの無人アクセスを正しい方法で設定しましょう。固定パスワードの設定、システム起動時に自動的に開始するサービスとしての実行、そして事前設定済みクライアントによる大規模展開までを解説します。