4月14日に配信されたWindows Patch Tuesday(KB5083769)に、一見地味でありながら実務上の意味が大きい変更が含まれていた。Windowsのリモートデスクトップ接続アプリ(MSTSC)が、.rdpファイルを開いた際の挙動を大幅に刷新した。この変更は、ロシアの国家支援型攻撃グループMidnight Blizzardが多用してきたフィッシング手法への直接的な対策だ。
なぜRDPファイルが危険なのか
リモートデスクトップ接続ファイル(.rdp)は、接続先サーバーのアドレスだけでなく、ローカルドライブ・クリップボード・スマートカード・WebAuthn資格情報などを「自動的に接続先へリダイレクトする」設定を埋め込める。攻撃者はこれを悪用し、一見無害なRDPファイルをメール添付で配布してきた。ファイルを開いた瞬間、ユーザーが気づかぬまま手元の資格情報がリモートの攻撃者に渡る——この攻撃シナリオが現実の被害を生み続けてきた。
Midnight Blizzardは大規模スピアフィッシングキャンペーンでこの手法を組織的に使用。英国のNCSC(National Cyber Security Centre)がスプーフィング脆弱性としてMicrosoftに正式報告したことが、今回の対策実装につながっている。
2段階の新ダイアログ設計
今回の更新では、.rdpファイルを開く際のダイアログが2段階に分かれた。
初回教育ダイアログ(アカウントごとに1回)
更新適用後に初めて.rdpファイルを開いたとき、「RDPファイルとは何か、なぜ危険なのか」を説明するポップアップが表示される。ユーザーが内容を確認して許可すれば、以後このダイアログは再表示されない(Microsoftがダイアログバージョンを更新するまで)。
接続ごとのセキュリティダイアログ(毎回表示)
2回目以降も、接続確立前に毎回セキュリティ警告ダイアログが表示される。接続先アドレス、ファイルのデジタル署名の有無、そして「どのローカルリソースへのアクセスが要求されているか」の一覧が明示される。
重要なのはすべてのリソースリダイレクトがデフォルトでOFFになっていること。ドライブ共有も、クリップボードも、スマートカードも、ユーザーが明示的にチェックしない限り接続先には渡らない。これが今回の変更の核心だ。
さらに、署名なし・発行元不明のRDPファイルには「Caution: Unknown remote connection」というオレンジ色の警告バナーが表示される。最もリスクの高いケースでユーザーが立ち止まれるよう、視覚的な強調が加えられた。
実務への影響:IT管理者が今すぐやるべきこと
RDPファイルの棚卸しと署名対応
社内で.rdpファイルを配布・使用している場合、デジタル署名付きのファイルを標準化することで「Unknown publisher」警告を回避できる。既存ファイルの棚卸しと署名対応を今のうちに進めておくべきだ。
ユーザーへの事前説明
更新適用後、初めてRDPファイルを開いたユーザーが「急にダイアログが出た」と混乱するケースが予想される。ヘルプデスクへの事前周知と簡単な案内文を用意しておくと、問い合わせ件数を大幅に減らせる。
レジストリによる回避策は使わない
HKLM\Software\Policies\Microsoft\Windows NT\Terminal Services\Client の RedirectionWarningDialogVersion を 1 に設定すれば従来動作に戻すことは技術的に可能だが、これは問題を先送りにするだけだ。デフォルト設定を活かす運用設計に整えていく方が長期的に健全だ。
筆者の見解
今回の変更は、「セキュアバイデフォルト」の思想をRDPにも適用した、正しい方向の改善だ。以前のWindowsは、.rdpファイルを開いたら何も確認せず接続する設計だった。国家支援型グループにとって、これほど都合のよい初期設定はなかっただろう。
英国NCSCからの正式報告を受けて、単なる脆弱性パッチではなく「UX全体を見直した根本的な改善」として実装してきた点は評価したい。「接続するかどうかはユーザーが決める」という当たり前のことが、ようやく当たり前の実装になった。Microsoftにはこういうことをきちんとやりきれる力がある。
日本のエンタープライズ環境でもRDPは広く使われており、VPNの代替としてインターネットへ直接公開している組織がいまだに存在する。今回のUI強化は出発点として捉え、ゼロトラストの文脈でのアクセス制御の見直しを合わせて実施するタイミングとして活用してほしい。「RDPファイルに警告が出るようになった」で終わらせず、「そもそもこの接続経路の設計は正しいのか」を問い直すきっかけにすることを強くお勧めしたい。
出典: この記事は New RDP Alert After April 2026 Security Update Warns of Unknown Connections の内容をもとに、筆者の見解を加えて独自に執筆したものです。