AD脅威診断/監視サービス

知らないうちにActive Directoryが乗っ取られていた
新型ランサムウェアによるActive Directoryの陥落

最近、企業の事業継続に大きく影響する重大なセキュリティインシデントが多数発生しています。
従来のランサムウェアは、ファイルの暗号化を行い、暗号化解除のために身代金の要求をしていました。
しかし、新型ランサムウェアは、情報の搾取を行った上でファイルの暗号化を行い、搾取した情報の一部をダークウェブ上に公開し、全ての情報を公開されたくなければ身代金を支払えという攻撃に進化しています。
具体的には、特定の組織を標的としたランサムウェアが内部に侵入・感染して大規模なシステム障害を引き起こしたり、機密情報が大量に盗まれてダークウェブなどで公開されるといった事態です。
これらのインシデントでは、早い段階で攻撃者にADサーバの管理者権限が奪われていたと考えられますが、標的となった企業はそのことに気付いておらず、被害の発生を防ぐことができませんでした。

進化し続ける新型ランサムウェアの攻撃の特徴

ばらまきメールで感染させることは少ない

1件で数百～数億円を狙っている

対象を絞り込んで、ハッカー自身が操作を行う

標的型攻撃に近い

情報を大量に盗み出すためにある程度時間をかける

2週間から1～2ヶ月

ADの暗号化と全PCの暗号化を目論む事が多い

AD、全PC暗号化はダメージが大きい

AD脅威診断/監視サービスとは

弊社では、こうしたADサーバに対する脅威の存在を早期に検知し、被害の発生を未然に防ぐことを可能にする『AD脅威診断サービス』を提供しています。 ADサーバおよびファイルサーバや管理者端末のイベントログを分析エージェント(以下エージェントと呼称)およびアナリストが分析し、管理者アカウントの窃取、不審なPowerShell実行やグループポリシー改ざんなどを検出することが可能なサービスです。 本サービスは以下を実現し、被害を最小限に食い止めます。

AD脅威診断/監視サービスメニュー

AD脅威診断/監視サービス全体イメージ

主な検出脅威

• パスワードスプレイ攻撃
• Pass The Hash
• Golden Ticketの利用
• DCShadow
• DCSync
• BloodHound
• Skeleton Key
• メモリからのクレデンシャル情報流出
• 不審なPowerShell実行
• 不審なタスク登録
• イベントログ消去
• アカウントロック
• 不審なグループポリシー操作
• 登録されていない管理者ユーザー情報
• RDPログオン/ログオフ
• 不審なレジストリ操作
• PSEXECの実行
• 遠隔コマンド実行
• 不審なファイル共有

2020年Active Directory動向Webセミナー

最近発生しているAD陥落などのセキュリティ事案の解説と本サービスのご紹介を含め、緊急Webセミナーを以下の日程で実施いたします。
この機会にぜひご参加下さい。