Active Directory
監視サービス(自社開発製品)

ランサムウェアの脅威から企業を守る独自開発AD監視

ランサムウェアの侵入を防ぐにはAD(Active Directory)の監視は必須です。当社のAD監視は、膨大なADのイベントログを使って監視する一般的なSIEM監視に比べて安価で、かつ正確に兆候を掴むことができます。セキュリティ事故対応の経験を持つS&Jが独自に開発した『AD Agent』はサーバーインストール型を採用し、サーバー内部情報とADのイベントログを繋ぎ合わせた判断ができるため、より正確な兆候をより早く掴むことができます。

知らないうちにActive Directoryが乗っ取られていた

最近、企業の事業継続に大きく影響する重大なセキュリティインシデントが多数発生しています。
従来のランサムウェアは、ファイルの暗号化を行い、暗号化解除のために身代金の要求をしていました。
しかし、新型ランサムウェアは、情報の搾取を行った上でファイルの暗号化を行い、搾取した情報の一部をダークウェブ上に公開し、全ての情報を公開されたくなければ身代金を支払えという攻撃に進化しています。
具体的には、特定の組織を標的としたランサムウェアが内部に侵入・感染して大規模なシステム障害が発生する、機密情報が大量に盗まれてダークウェブなどで公開されるといった事態です。
これらのインシデントでは、早い段階で攻撃者にActive Directoryサーバーの管理者権限が奪われていたと考えられますが、標的となった企業はそのことに気付いておらず、被害の発生を防ぐことができませんでした。

従来のランサムウェア(~2019前) 新型ランサムウェア(2019~)
暴露型 システム破壊型
感染経路 主にメール VPN、RDP、メール
暗号化 感染したPCのみ、または、ワーム ファイルサーバ、AD、組織内の全PC
情報窃盗 しない する
Active Directory ほぼ侵入しない ほぼ侵入する
脅迫 暗号化の解除 暗号化の解除 情報公開を止める
脅迫金額 数万円から数十万円 数百万円から十億円超
攻撃者 経済的な犯罪組織(中規模) 経済的な犯罪組織(大規模)
被害が外部に知られるか 組織外に漏れる可能性は低い 公開サイトに掲載され、外部に知られてしまう
(掲載されないこともある)。

進化し続ける新型ランサムウェアの特徴

ファイルの暗号化だけではなく、情報を窃取し、外部への公開で脅迫

Active Directory、全パソコンの暗号化だけではなく、情報窃取を公開されてしまうダメージは大きい

ばらまきメールで感染させることは少ない

1件で数千万円~十億円を狙っている

対象を絞り込んでハッカー自身が操作を行う

標的型攻撃に近く、標的型攻撃対策(入口・出口・端末)だけでは不十分

情報を大量に盗み出すまでの時間が早い

早いケースの場合、4時間でActive Directory陥落

重要システムのActive Directoryに対する攻撃を検知する有効な手段をS&Jが開発

独自開発の『AD Agent』をインストールすることでイベントログだけでは検出できない脅威を検知します。

  • SIEMでは検知が困難な脅威(DCShadow、DCSync、Pass The Hash、Golden Ticket、BloodHoundなど。)を検知します。
  • 重要なパッチ(Zerologon、SIGRed、PrintNightmareなど)の適用チェックを行います。
  • 脅威を検知することで攻撃に対する対処をいち早く実施できます。
  • 24時間365日体制で監視を行います。
  • 検知した情報のみを送信するため、SIEMよりもログ量が格段に少なくなります。
  • 不審なアカウントからのログインはリモートでアカウントの無効化を行います (要オプション)。
  • 過検知をAIエイジング機能で大幅に削減しています。

Active Directory監視サービスで検出される脅威例

対象脅威 ADサーバー ファイルサーバー 備考
パスワードスプレイ攻撃
BloodHound 別途おとりアカウント追加設定が必要
アカウントロック
不審なPowerShell実行 PowerShell5.0以上が必要
不審なタスク登録 別途ログ出力設定が必要
RDPログオン/ログオフ
PSEXECが実行された
不審なコマンドの実行 別途ログ出力設定が必要
不審な管理共有 別途ログ出力設定が必要
Pass The Hash
Golden Ticketの利用 別途ログ出力設定が必要
DCShadow 別途ログ出力設定が必要
DCSync 別途ログ出力設定が必要
Skeleton Key 別途ログ出力設定が必要
イベントログ消去
意図しない管理者登録
Kerberoasting攻撃 別途ログ出力設定が必要
Zerologon
不審なグループポリシー操作
監査ログ設定が不十分
重要なセキュリティパッチが未適用 一部のパッチ適用状況のみ確認
PrintNightmare攻撃 別途ログ出力設定が必要
PetitPotam攻撃
アンチウイルスソフトの停止 別途ログ出力設定が必要
Brute Force攻撃 別途ログ出力設定が必要
 
対象脅威 ADサーバー ファイルサーバー
パスワードスプレイ攻撃
BloodHound
アカウントロック
不審なPowerShell実行
不審なタスク登録
RDPログオン/ログオフ
PSEXECが実行された
不審なコマンドの実行
不審な管理共有
Pass The Hash
Golden Ticketの利用
DCShadow
DCSync
Skeleton Key
イベントログ消去
意図しない管理者登録
Kerberoasting攻撃
Zerologon
不審なグループポリシー操作
監査ログ設定が不十分
重要なセキュリティパッチが未適用
PrintNightmare攻撃
PetitPotam攻撃
アンチウイルスソフトの停止
Brute Force攻撃
対象脅威 備考
パスワードスプレイ攻撃
BloodHound 別途おとりアカウント追加設定が必要
アカウントロック
不審なPowerShell実行 PowerShell5.0以上が必要
不審なタスク登録 別途ログ出力設定が必要
RDPログオン/ログオフ
PSEXECが実行された
不審なコマンドの実行 別途ログ出力設定が必要
不審な管理共有 別途ログ出力設定が必要
Pass The Hash
Golden Ticketの利用 別途ログ出力設定が必要
DCShadow 別途ログ出力設定が必要
DCSync 別途ログ出力設定が必要
Skeleton Key 別途ログ出力設定が必要
イベントログ消去
意図しない管理者登録
Kerberoasting攻撃 別途ログ出力設定が必要
Zerologon
不審なグループポリシー操作
監査ログ設定が不十分
重要なセキュリティパッチが未適用 一部のパッチ適用状況のみ確認
PrintNightmare攻撃 別途ログ出力設定が必要
PetitPotam攻撃
アンチウイルスソフトの停止 別途ログ出力設定が必要
Brute Force攻撃 別途ログ出力設定が必要

導入事例

Active Directory監視サービスは、生活家電、小売、介護サービス、流通、運輸などのサービスで30社以上に導入いただいています。

本サービスへのお問い合わせ