リモートデスクトッププロトコル（RDP）ファイルは、エンタープライズ環境でリモートシステムへの接続を効率化するために一般的に使用されます。管理者は、ローカルリソースをリモートホストに自動的にリダイレクトするようにこれらのファイルを事前に設定できます。 しかし、脅威アクターはフィッシングキャンペーンでこの機能をますます悪用しています。ロシアの国家支援を受けたAPT29ハッキンググループは、以前にも悪意のあるRDPファイルを使用して、被害者からデータをリモートで窃取したり、認証情報を取得したりしていました。 これらの悪意のあるファイルが開かれると、攻撃者が制御するシステムに接続し、ローカルドライブをリダイレクトして、ディスクに保存されているファイルや認証情報への不正アクセスを許可します。攻撃者は、パスワードや機密テキストなどのクリップボードデータを傍受したり、スマートカードや**Windows** Helloのような認証メカニズムをリダイレクトしてユーザーになりすますこともできます。 ## 新たなRDP保護機能の展開 **Windows** 10（KB5082200）および**Windows** 11（KB5083769およびKB5082052）の2026年4月の累積更新プログラムの一環として、**Microsoft**は悪意のあるRDP接続ファイルのエクスプロイトを防ぐための新たな保護機能を導入しました。 **Microsoft**は、「悪意のあるアクターは、フィッシングメールを通じてRDPファイルを送信することでこの機能を悪用しています。被害者がファイルを開くと、デバイスは攻撃者が制御するサーバーにサイレントに接続し、ローカルリソースを共有して、攻撃者にファイル、認証情報などへのアクセスを許可します。」と警告しています。 アップデートをインストールした後、ユーザーはRDPファイルを初めて開く際に、一度だけ教育的なプロンプトが表示されます。このプロンプトは、RDPファイルの性質と潜在的なリスクを説明します。ユーザーはリスクを理解していることを承認する必要があり、それによりアラートが再度表示されなくなります。  将来、RDPファイルを開こうとすると、接続が確立される前にセキュリティダイアログが表示されます。このダイアログには、RDPファイルが検証済みの発行元によって署名されているかどうか、リモートシステムの СSS、およびすべてのローカルリソースリダイレクト（ドライブ、クリップボード、デバイス）のリストが表示され、すべてのオプションはデフォルトで無効になっています。 ファイルにデジタル署名がない場合、**Windows**は「注意：不明なリモート接続」という警告を表示し、発行元が検証できないことを示します。  RDPファイルがデジタル署名されていても、**Windows**は発行元を表示しますが、接続する前にその正当性を確認することをユーザーに推奨します。 これらの新たな保護機能は、RDPファイルを開くことによって開始される接続にのみ適用され、**Windows**リモートデスクトップクライアントを介して直接行われる接続には適用されません。 管理者は、**HKLM\Software\Policies\Microsoft\Windows NT\Terminal Services\Client**レジストリキーの**RedirectionWarningDialogVersion**値を**1**に設定することで、一時的にこれらの保護機能を無効にすることができます。ただし、過去のRDPファイル攻撃の悪用履歴を考慮すると、これらの保護機能を維持することが強く推奨されます。