IBM SOCの監視でRDPの攻撃スキャンを検知したとのこと。

東京SOCでは、2011年8月13日頃からリモートデスクトップ接続で利用する3389(TCP)番ポートの接続可否を確認しようとするスキャン活動を多数検知しています。3389(TCP)番ポートへのスキャン活動は、以前から定常的に確認していましたが、8月24日にはそれまでの約50倍もの大量のスキャン通信の検知が発生しました。

https://www-304.ibm.com/connections/blogs/tokyo-soc/entry/port3398_scan_20110831?lang=ja