Active Directory
監視サービス(自社開発製品)
ランサムウェアの脅威から企業を守る独自開発AD監視
ランサムウェアの侵入を防ぐにはAD(Active Directory)の監視は必須です。当社のAD監視は、膨大なADのイベントログを使って監視する一般的なSIEM監視に比べて安価で、かつ正確に兆候を掴むことができます。セキュリティ事故対応の経験を持つS&Jが独自に開発した『AD Agent』はサーバーインストール型を採用し、サーバー内部情報とADのイベントログを繋ぎ合わせた判断ができるため、より正確な兆候をより早く掴むことができます。
知らないうちにActive Directoryが乗っ取られていた
最近、企業の事業継続に大きく影響する重大なセキュリティインシデントが多数発生しています。
従来のランサムウェアは、ファイルの暗号化を行い、暗号化解除のために身代金の要求をしていました。
しかし、新型ランサムウェアは、情報の搾取を行った上でファイルの暗号化を行い、搾取した情報の一部をダークウェブ上に公開し、全ての情報を公開されたくなければ身代金を支払えという攻撃に進化しています。
具体的には、特定の組織を標的としたランサムウェアが内部に侵入・感染して大規模なシステム障害が発生する、機密情報が大量に盗まれてダークウェブなどで公開されるといった事態です。
これらのインシデントでは、早い段階で攻撃者にActive Directoryサーバーの管理者権限が奪われていたと考えられますが、標的となった企業はそのことに気付いておらず、被害の発生を防ぐことができませんでした。
従来のランサムウェア(~2019前) | 新型ランサムウェア(2019~) 暴露型 システム破壊型 |
|
---|---|---|
感染経路 | 主にメール | VPN、RDP、メール |
暗号化 | 感染したPCのみ、または、ワーム | ファイルサーバ、AD、組織内の全PC |
情報窃盗 | しない | する |
Active Directory | ほぼ侵入しない | ほぼ侵入する |
脅迫 | 暗号化の解除 | 暗号化の解除 情報公開を止める |
脅迫金額 | 数万円から数十万円 | 数百万円から十億円超 |
攻撃者 | 経済的な犯罪組織(中規模) | 経済的な犯罪組織(大規模) |
被害が外部に知られるか | 組織外に漏れる可能性は低い | 公開サイトに掲載され、外部に知られてしまう (掲載されないこともある)。 |
進化し続ける新型ランサムウェアの特徴
ファイルの暗号化だけではなく、情報を窃取し、外部への公開で脅迫
Active Directory、全パソコンの暗号化だけではなく、情報窃取を公開されてしまうダメージは大きい
ばらまきメールで感染させることは少ない
1件で数千万円~十億円を狙っている
対象を絞り込んでハッカー自身が操作を行う
標的型攻撃に近く、標的型攻撃対策(入口・出口・端末)だけでは不十分
情報を大量に盗み出すまでの時間が早い
早いケースの場合、4時間でActive Directory陥落
重要システムのActive Directoryに対する攻撃を検知する有効な手段をS&Jが開発
独自開発の『AD Agent』をインストールすることでイベントログだけでは検出できない脅威を検知します。
- S&Jが独自開発したエージェント(AD Agent)とクラウドでの独自ロジックの組み合わせにより、SIEMでは検知できない脅威を検出することができます。
- S&Jがこれまでに対応してきたランサムウェアやAPT攻撃などのインシデントレスポンス(IR)の経験をノウハウとして検知ロジックを組み込んでいます。
- AD特有の脅威(DCShadow、DCSync、Pass the Hash、Golden Ticket、BloodHoundなど)を検知することができます。
- AD固有の重要なパッチ(Zerologon、SIGRed、PrintNightmareなど)の適用チェックを行います。
- DC(Domain Controller)だけでなく、ファイルサーバーや仮想基盤などのWindows Serverを監視することで、より早く脅威を検知することが可能になります。
- 脅威を検知することで攻撃に対する対処をいち早く実施することができます。
- 24時間365日体制で監視を行います。
- 検知した情報のみを送信するため、SIEMよりも転送するログ量が格段に少なくなります。
- 不審な動作をしたアカウントは、リモートでアカウントの無効化を行います (別途オプション)。
- 過検知をAIエイジング機能で大幅に削減しています。
Active Directory監視サービスで検出される脅威例
導入事例
Active Directory監視サービスは、生活家電、小売、介護サービス、流通、運輸などのサービスで30社以上に導入いただいています。