Facebook Google Plus Twitter LinkedIn YouTube RSS メニュー 検索 出典 - ブログ 出典 - ウェビナー出典 - レポート出典 - イベントicons_066 icons_067icons_068icons_069icons_070

Tenable ブログ

ブログ通知を受信する

ランサムウェア攻撃からActive Directoryを保護

現在、多くのランサムウェアオペレーターが、攻撃経路の中核となるステップとして Active Directory (AD) を標的にしています。 詳細を理解することで、AD 環境の安全性を保護することができます。

ここ数カ月間、多くのランサムウェア集団が、攻撃経路の中核となるステップとして、Active Directory (AD) に焦点を絞ってきました。 2021 年 7 月の LockBit 2.0 に始まり、2021 年 9 月と 10 月の Conti と BlackMatter に至るまで、AD 経由のドメイン権限で、被害者のネットワークへの自由なアクセス (IT 環境の支配権) を得ることがいかに容易であるかを彼らは学習しているのです。残念ながら、AD のセキュリティとガバナンスの問題を適切に評価している企業はあまりにも少ないのが現状です。このブログでは、 Active Directoryを利用して攻撃を加速させる最近のランサムウェアの戦術を紹介し、脅威から企業を守る対策を説明します。

ランサムウェアのActive Directory(AD) 戦術を深く解析

セキュリティチームは Active Directoryという重要な攻撃経路を見過ごしがちですが、サイバーセキュリティインフラストラクチャセキュリティ庁 (CISA)、連邦捜査局 (FBI)、国家安全保障局 (NSA) は見逃していません。 脅威の活動が活発化し、高度化していることから、これら 3 つの米国政府機関はランサムウェア攻撃に関連する複数の共同アラートを発しており、各勧告では、攻撃のネットワーク内部への感染に AD が重要な役割を果たしていることが明記されています。

Conti

ランサムウェア Conti は、今年初め、多くの医療機関を含む数百の企業を攻撃し、極めて重要な業務を停止させたことで話題になりました。 Conti を利用した攻撃者は、AD で権限を得るために、パッチの適用されていない脆弱性に注目しています。CISA、FBI、NSA の共同アラートでは、次のように記述されています。

「最近流出した攻撃者の『プレイブック』によると、Conti の攻撃者は、以下のようなパッチが適用されていない資産の脆弱性なども利用して権限を昇格し、被害者のネットワークを探索するとされています。

  • 2017 年 Microsoft Windows Server Message Block 1.0 サーバーの脆弱性
  • Windows の印刷スプーラーサービスにおける『PrintNightmare』脆弱性 (CVE-2021-34527)
  • Microsoft AD ドメインコントローラーシステムにおける『Zerologon』脆弱性 (CVE-2020-1472)」

BlackMatter

BlackMatter は、DarkSide、REvil、LockBit の様々なプレイブックの戦術をモデルとした新しいランサムウェア集団です。 また、CISA、FBI、NSA は、BlackMatter が 2 つの米国食糧農業企業を含む複数の米国の重要インフラ企業を標的にしているとの共同アラートを発しました。 BlackMatter は AD を利用してホストや共有フォルダーを検出して列挙します。 共同アラートでは次のように記述されています。

「BlackMatter は、過去に侵害されたことのある埋め込まれた認証情報を用いて、ライトウェイトディレクトリアクセスプロトコル (LDAP) とサーバーメッセージブロック (SMB) プロトコルを利用して Active Directory (AD) にアクセスし、ネットワーク上のすべてのホストを検出します。 BlackMatter はその後、ホストや共有ドライブを見つけ次第、リモートで暗号化します」

LockBit 2.0

最近の CISA 勧告では言及されていませんが、LockBit 2.0 は、2021 年 7 月時点ですでに活動が盛んでした。 IBM が運営するブログ『Security Intelligenceでは、LockBit 集団が使用している新しい戦術を分析しています。その中には、AD をてこに、次のようにグループポリシーを使用してランサムウェアのペイロードを導入する手口も含まれています。

「今回の分析で明らかになった最も大きな変化の一つは、導入のための新しい技術の実装です。 グループポリシーオブジェクト (GPO) を介して Microsoft Active Directory クライアントに自動的に自己導入するペイロードです。 Active Directory Domain Controller 上に導入されると、LockBit 2.0 は、感染プロセスを実行するために複数の GPO を作成して、 Windows Defender の設定を変更して検知を回避します。さらにネットワーク共有の更新、特定のサービスの停止、プロセスの終了などを行い、 LockBit の実行ファイルをクライアントのデスクトップのディレクトリにコピーし、実行します。 PowerShell により、指定した組織単位 (OU) のドメインに結合したすべてのホストに新しい GPO が適用されます」

ランサムウェアの攻撃経路を複数のポイントで遮断しActive Directoryセキュリティを保護

ランサムウェアのAD に対する戦術を理解したところで、セキュリティ防御側は、攻撃経路の複数のステップに注目することが重要です。

ランサムウェアの初期エントリポイントの考察

攻撃者は、そもそも企業の IT 環境に侵入しなければ、標的に向かって探索を開始することはできません。RyukREvil など、複数の例で見られたように、エントリポイントはフィッシング攻撃だけとは限りません。 むしろ、ユーザーの操作を必要としないデバイスやオペレーティングシステム、ソフトウェアの既知の問題を利用した攻撃が目立ってきています。 攻撃者がデバイス、オペレーティングシステム、ソフトウェアに侵入する際の主な戦術は、脆弱性を利用することと、設定ミスを利用することの 2 つです。 

小規模な企業であっても、防御側は、セキュリティを保護しなければならない多くの脆弱性や設定ミスがあることを理解して、アタックサーフェス内のすべての潜在的なエクスポージャーを確認し、最も重要なセキュリティ上の問題に直ちに対処するために周到に用意する必要があります。 すべての脆弱性や設定ミスを保護することは不可能なので、ここでは優先順位をつけることが重要です。

エントリポイントの悪用

攻撃者がエントリポイントで足場を固めた後、認証情報を取得し、環境内を探索し、ネットワークに関する情報を収集するために利用している方法がいくつかあります。 主な手口として、侵害されたデバイスのローカル管理者権限を獲得する方法があります。ローカル権限があると、攻撃者は悪意のあるソフトウェアをインストールしたり、ローカルにキャッシュされた認証情報をマイニングしたりすることができます。 

デバイスにインストールされた悪意のあるソフトウェアは、通常、ネットワークや AD の詳細を列挙するために使用されます。このレベルの列挙は、ネットワークと AD への読み取りアクセスのみを必要とするため、列挙される前に、ネットワークデバイスとソフトウェア、そして AD の両方が安全に保護されていることが不可欠です。

キャッシュされた認証情報を取得した攻撃者は、ドメインの特権ユーザーがデバイスにログインしている場合、即時にドメイン権限を取得することが可能です。 この場合、攻撃者はこのアカウントになりすますだけで、バックドアを仕掛け、目的のデータをコピーして、ネットワーク全体にランサムウェアを導入することができます。 このような状況を避けるために、管理者をワークステーションに直接ログオンさせないような、階層化されたモデルを確実に導入することが非常に重要です。管理者がログオンすると、認証情報がキャッシュされる可能性があるので、それが原因で攻撃者に簡単にアクセスされてしまうことが考えられるからです。

攻撃者が権限のある認証情報を得られなかった場合、攻撃者はその認証情報を使って他のデバイスへの移動を試み、侵害したすべてのデバイスで同じ手口を繰り返して使います。攻撃者の探索を阻止するには、Microsoft の LAPS のような技術と、強固なパスワードポリシーを実装する必要があります。

攻撃者がドメイン権限を獲得していなくても、AD を列挙していれば、ドメイン権限のあるアカウントを侵害することを目的に、ドメインアカウントを攻撃する手段が手の内にあるということになります。

ランサムウェアからActive Directoryセキュリティを保護する

AD は、年中無休のセキュリティとメンテナンスが必要です。 攻撃されやすいユーザーやコンピューターの設定は、Nessus、Tenable.io、Tenable.sc の簡単な Active Directory スタータースキャンで検出できます。 スタータースキャンを使えば、AD のセキュリティを高レベルでチェックすることができ、潜在的な設定ミスを示してくれます。

AD スタータースキャンは出発点としては適切ですが、以下のような AD における他の一般的なセキュリティ問題にもできるだけ早く対処する必要があります。

  • 特権ユーザーと関連する属性の保護
  • 特権グループとそのメンバーの検証
  • AD と SYSVOL の権限の見直しと確保
  • すべての信頼関係が正しいかどうかの確認
  • 公開されている脆弱性のパッチ適用

詳しくはこちらから

関連記事

最新のサイバー攻撃に対する不安はないですか?

下にメールアドレスをご記入ください。最新の情報が確認できる Cyber Exposure アラートがインボックスに送信されます。

tenable.io

30 日間無料


最新のクラウドベースの脆弱性管理プラットフォームにフルアクセスし、これまでにない精度で全資産の表示および追跡が可能です。

tenable.io 購入

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスし、これまでにない精度で全ての資産を確認し、追跡しましょう。 年間サブスクリプションをご購入ください。

65 資産

サブスクリプションオプションを選択してください。

今すぐ購入する

Nessus Professional を無料で試す

7 日間無料

Nessus® は、最も包括的な脆弱性スキャナーです。Nessus Professional は脆弱性のスキャンプロセスを自動化し、コンプライアンスサイクルを短縮し、お客様の IT チームが専念して活動できるようにします。

Nessus Professionalを購入する

Nessus® は、最も包括的な脆弱性スキャナーです。Nessus Professional は脆弱性のスキャンプロセスを自動化し、コンプライアンスサイクルを短縮し、お客様の IT チームが専念して活動できるようにします。

複数年ライセンスをご購入いただくと割引が適用されます。拡張サポートを追加すると、24 時間x365 日、電話、コミュニティ、チャットサポートにアクセスできます。

ライセンスをお選びください

複数年ライセンスをご購入いただくと割引が適用されます。

サポートとトレーニングを追加

Tenable.io を 30 日間無料でお試しください

最新のクラウドベースの脆弱性管理プラットフォームにフルアクセスし、これまでにない精度で全資産の表示および追跡が可能です。

Tenable.io を購入する

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスし、これまでにない精度で全ての資産を確認し、追跡しましょう。 年間サブスクリプションをご購入ください。

65 資産

サブスクリプションオプションを選択してください。

今すぐ購入する

Tenable.io Web Application Scanningを試す

30 日間無料

Tenable.ioプラットフォームの一部として最新のアプリケーション用に設計された、最新のウエブアプリケーションのスキャンサービスの全機能にアクセス可能です。手作業による労力や重大なウエブアプリケーションの中断なしに、脆弱性のオンラインポートフォリオを安全に高精度でスキャンします。 今すぐサインアップしてください。

Tenable.io Web Application Scanningを購入する

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスし、これまでにない精度で全ての資産を確認し、追跡しましょう。 年間サブスクリプションをご購入ください。

5 FQDN

3,578ドル

今すぐ購入する

Tenable.io Container Securityを試す

30 日間無料

脆弱性管理プラットフォームに統合された唯一のコンテナセキュリティ製品の全機能にアクセス可能です。コンテナイメージの脆弱性、マルウェア、ポリシー違反を監視継続的インテグレーション/継続的デリバリー(CI / CD)システムと統合し、DevOps プラクティス、セキュリティ強化、および企業のポリシーコンプライアンスをサポートします。

Tenable.io Container Securityを購入する

Tenable.ioのContainer Securityは、ビルドプロセスと統合することにより、コンテナイメージのセキュリティ(脆弱性、マルウェア、ポリシー違反など)を可視化し、シームレスかつ安全なDevOpsプロセスを実現します。

Tenable Lumin を試用する

30 日間無料

Tenable Lumin を使用して、Cyber Exposure を可視化および調査し、リスクの軽減を追跡し、競合他社に対してベンチマークしましょう。

Tenable Lumin を購入する

Tenableの担当者にお問い合わせいただき、組織全体に対するインサイトを得て、サイバーリスクを管理する上で Lumin がいかに役立つかについて、Tenable の営業担当者までお問い合わせください。

Tenable.cs を試してみる

30 日間無料で Tenable.cs にフルアクセス。クラウドインフラの設定ミスを、ソフトウェア開発ライフサイクルの設計、構築、実行時を通じて検出して修正できます。

Tenable.cs を購入する

クラウドセキュリティについてもっと詳しく、コードからクラウドまでの各段階でセキュリティを確保できるか、営業担当にお問い合わせください。