Active Directory
監視サービス

Active Directory陥落の脅威!
陥落から始まる新型ランサムウェア、恐怖のシナリオ

知らないうちにActive Directoryが乗っ取られていた

最近、企業の事業継続に大きく影響する重大なセキュリティインシデントが多数発生しています。
従来のランサムウェアは、ファイルの暗号化を行い、暗号化解除のために身代金の要求をしていました。
しかし、新型ランサムウェアは、情報の搾取を行った上でファイルの暗号化を行い、搾取した情報の一部をダークウェブ上に公開し、全ての情報を公開されたくなければ身代金を支払えという攻撃に進化しています。
具体的には、特定の組織を標的としたランサムウェアが内部に侵入・感染して大規模なシステム障害が発生する、機密情報が大量に盗まれてダークウェブなどで公開されるといった事態です。
これらのインシデントでは、早い段階で攻撃者にActive Directoryサーバーの管理者権限が奪われていたと考えられますが、標的となった企業はそのことに気付いておらず、被害の発生を防ぐことができませんでした。

従来のランサムウェア(~2019前) 新型ランサムウェア(2019~)
暴露型 システム破壊型
感染経路 主にメール VPN、RDP、メール
暗号化 感染したPCのみ、または、ワーム ファイルサーバ、AD、組織内の全PC
情報窃盗 しない する
Active Directory ほぼ侵入しない ほぼ侵入する
脅迫 暗号化の解除 暗号化の解除 情報公開を止める
脅迫金額 数万円から数十万円 数百万円から十億円超
攻撃者 経済的な犯罪組織(中規模) 経済的な犯罪組織(大規模)
被害が外部に知られるか 組織外に漏れる可能性は低い 公開サイトに掲載され、外部に知られてしまう
(掲載されないこともある)。

進化し続ける新型ランサムウェアの特徴

ファイルの暗号化だけではなく、情報を窃取し、外部への公開で脅迫

Active Directory、全パソコンの暗号化だけではなく、情報窃取を公開されてしまうダメージは大きい

ばらまきメールで感染させることは少ない

1件で数千万円~十億円を狙っている

対象を絞り込んでハッカー自身が操作を行う

標的型攻撃に近く、標的型攻撃対策(入口・出口・端末)だけでは不十分

情報を大量に盗み出すまでの時間が早い

早いケースの場合、4時間でActive Directory陥落

重要システムのActive Directoryに対する攻撃を検知する有効な手段をS&Jが開発

独自開発の『AD Agent』をインストールすることでイベントログだけでは検出できない脅威を検知します。

  • SIEMでは検知できない脅威を検知します。
    DCShadow、DCSync、Pass The Hash、Golden Ticket、BloodHoundなど。
  • 脅威を検知することで攻撃に対する対処をいち早く実施できます。
  • 24時間365日体制で監視を行います。
  • 検知した情報のみを送信するため、SIEMよりもログ量が格段に少なくなります。
  • 不審なアカウントからのログインはリモートでアカウントの無効化を行います (要オプション)。
  • ※オプションはアドバンスト(ADV)をご利用のお客様が対象です。

Active Directory脅威監視プラン

アドバンスト(ADV) ※当社推奨

  • Active Directoryログ出力設定を変更いただき、監視サービスをご利用になれます。
  • 後述のSTDより検知する脅威は多くなります。

スタンダード(STD)

  • Active Directoryログ出力設定を変更することなく(一部設定を除く)、監視サービスをご利用になれます。
  • 検知する脅威はADVより少なくなります。

Active Directory監視サービスで検出される脅威例

対象脅威 ADサーバー ファイルサーバー AD管理端末
(ADV契約必須)
備考
STD ADV STD ADV
パスワードスプレイ攻撃
BloodHound 別途アカウント追加設定が必要
アカウントロック
※1

※1
別途ログ出力設定が必要
不審なPowerShell実行 PowerShell5.0以上が必要
不審なタスク登録 別途ログ出力設定が必要
RDPログオン/ログオフ
不審なレジストリ操作
PSEXECが実行された
不審なコマンドの実行 別途ログ出力設定が必要 ※2
不審な管理共有 別途ログ出力設定が必要
Pass The Hash
Golden Ticketの利用 別途ログ出力設定が必要
DCShadow 別途ログ出力設定が必要
DCSync 別途ログ出力設定が必要
Skeleton Key 別途ログ出力設定が必要
メモリからのクレデンシャル情報流出 別途ログ出力設定が必要
イベントログ消去
意図しない管理者登録
Kerberoasting攻撃 別途ログ出力設定が必要
Zerologon
登録管理者以外の管理者権限ログオン
登録外のIPと管理者の組み合わせでログオン *管理者端末の接続元が固定IPでない場合、脅威を検知することができません
不審なグループポリシー操作
監査ログ設定が不十分
重要なセキュリティパッチが未適用 一部のパッチ適用状況を確認
対象脅威 ADサーバー ファイルサーバー
STD ADV STD ADV
パスワードスプレイ攻撃
BloodHound
アカウントロック
※1

※1
不審なPowerShell実行
不審なタスク登録
RDPログオン/ログオフ
不審なレジストリ操作
PSEXECが実行された
不審なコマンドの実行
不審な管理共有
Pass The Hash
Golden Ticketの利用
DCShadow
DCSync
Skeleton Key
メモリからのクレデンシャル情報流出
イベントログ消去
意図しない管理者登録
Kerberoasting攻撃
Zerologon
登録管理者以外の管理者権限ログオン
登録外のIPと管理者の組み合わせでログオン
不審なグループポリシー操作
監査ログ設定が不十分
重要なセキュリティパッチが未適用
対象脅威 AD管理端末
(ADV契約必須)
備考
パスワードスプレイ攻撃
BloodHound 別途アカウント追加設定が必要
アカウントロック 別途ログ出力設定が必要
不審なPowerShell実行 PowerShell5.0以上が必要
不審なタスク登録 別途ログ出力設定が必要
RDPログオン/ログオフ
不審なレジストリ操作
PSEXECが実行された
不審なコマンドの実行 別途ログ出力設定が必要 ※2
不審な管理共有 別途ログ出力設定が必要
Pass The Hash
Golden Ticketの利用 別途ログ出力設定が必要
DCShadow 別途ログ出力設定が必要
DCSync 別途ログ出力設定が必要
Skeleton Key 別途ログ出力設定が必要
メモリからのクレデンシャル情報流出 別途ログ出力設定が必要
イベントログ消去
意図しない管理者登録
Kerberoasting攻撃 別途ログ出力設定が必要
Zerologon
登録管理者以外の管理者権限ログオン
登録外のIPと管理者の組み合わせでログオン *管理者端末の接続元が固定IPでない場合、脅威を検知することができません
不審なグループポリシー操作
監査ログ設定が不十分
重要なセキュリティパッチが未適用 一部のパッチ適用状況を確認
  • ※1 ADV、STDの両方とも検知させる場合は別途ログ出力設定が必要です。
  • ※2 KB3004375のパッチ適用が必要です。
    https://support.microsoft.com/ja-jp/help/3004375/microsoft-security-advisory-update-to-improve-windows-command-line-aud
  • ※検知対象の変更があった場合はポータルにて通知いたします。

導入事例

Active Directory監視サービスは、生活家電、小売、介護サービス、流通、運輸などのサービスで30社以上に導入いただいています。

本サービスへのお問い合わせ