NEWS
ニュースリリース:2021.07.13

S&J、『Active Directory監視サービス』でPrintNightmare攻撃の検知が可能に

S&J株式会社(以下S&J 本社:東京都港区、代表取締役社長:三輪 信雄)は、独自開発SOCサービス『Active Directory監視サービス』において、PrintNightmare攻撃が検知できるように対応したことをお知らせいたします。

米マイクロソフト社から、Windowsで印刷処理に使われる「印刷スプーラー(Print Spooler)」に脆弱性が見つかったという発表がありました。
「PrintNightmare」と呼ばれる今回の脆弱性は、同社ですでに悪用の事実も確認されており、現地時間7月6日に緊急パッチが公開されたものの、パッチの回避ができてしまうため、引き続きリモートから攻撃が可能であるとの指摘が出ています。

『Active Directory監視サービス』でPrintNightmare攻撃の検知が可能に

PrintNightmareは、Active Directory環境ではドメインコントローラーが乗っ取られてしまう危険性があり、非常に危険なため早急な対応が求められています。
そこでS&Jは、独自開発SOCサービス『Active Directory監視サービス』でPrintNightmare攻撃を以下の場合に検知できるように対応いたしました。

・Active Directory配下のPCやサーバーが PrintNightmare で攻撃された
・ドメインコントローラーが PrintNightmare で攻撃された

本サービスでは、Active Directory環境において、上記の場合にPrintNightmare攻撃を独自開発SOCサービス『Active Directory監視サービス』で検知します。
※ADV(アドバンスト)プラン、監査ログ設定が必要です。

独自開発SOCサービス『Active Directory監視サービス』とは

・IEMでは検知が困難な脅威(DCShadow、DCSync、Pass The Hash、Golden Ticket、BloodHoundなど。)を検知します。
・重要なパッチ(Zerologon、SIGRed、PrintNightmareなど)の適用チェックを行います。
・脅威を検知することで攻撃に対する対処をいち早く実施できます。
・24時間365日体制で監視を行います。
・検知した情報のみを送信するため、SIEMよりもログ量が格段に少なくなります。
・不審な動作をしたアカウントは、リモートでアカウントの無効化を行います (別途オプション)。
・過検知をAIエイジング機能で大幅に削減しています。

独自開発SOCサービス『Active Directory監視サービス』開発責任者コメント

PrintNightmareは、Active Directory環境のシステム権限が奪われてしまう非常に危険な脆弱性です。サーバーを含め全ての端末で対応が必要なのですが、パッチ適用や緩和策の実施が困難な環境も多くあり、対応漏れが起きる可能性もあります。そのため、PrintNightmareの攻撃を検知できるように緊急で研究し対応いたしました。
独自開発SOCサービス『Active Directory監視サービス』によって、ドメインコントローラーの膨大なログから攻撃の痕跡をいち早く検知することができますので、お客様のActive Directory環境をPrintNightmareの脅威から守れるようになったことを誇りに思います。

ニュースリリース
https://prtimes.jp/main/html/rd/p/000000008.000062785.html
『Active Directory監視サービス』ページ
https://www.sandj.co.jp/services/surveillance-ad/