2020.06.24
マクニカネットワークス株式会社

マクニカネットワークス、
暴露型ランサムウェアの手口と対応例を公開

~ADや関連機器のログの”迅速な“調査や緊急対応、事業再開に向けた助言を実施~


日本の組織を狙う脅威を日々解析し、セキュリティ対策ソリューションを提供するマクニカネットワークス株式会社(以下、マクニカネットワークス、本社:神奈川県横浜市港北区新横浜1-5-5、代表取締役社長:池田 遵)は、最近多く被害が観測されている「暴露型ランサムウェア」について、被害を最小限にとどめるため、手口と対応例を公開いたします。

現在多くの日本企業において、VPN機器やその他の外部に公開している機器等の脆弱性が攻撃され、AD(Active Directory)の乗っ取りやランサムウェアの感染により機密情報を窃取されてしまう事案が発生しています。弊社が対応を支援している事案では、数週間あるいは数か月前から侵入の痕跡が確認されています。これらの事案で確認されたランサムウェアは、単にファイルを暗号化し、金銭を要求するだけではありません。攻撃者は情報を暗号化する前に情報を盗み出しており、金銭を支払わない場合、復元ツールを渡さないだけでなく、盗み出した情報を公開する、という脅迫にエスカレートするのです。従前とは異なるこうした手口から、「暴露型ランサムウェア」などと呼ばれています。

脅迫文(抜粋)

攻撃により発生した被害として確認できたのは、ADの管理権限が奪われ、グループポリシーが改ざんされてウイルスが全ユーザに配信されたり、ファイルサーバがランサムウェアによって暗号化されたりするといったものです。これらは実際には攻撃者に社内システムに侵入され、情報窃取が行われた後の二次的な被害が見えているだけであり、アンチウイルスソフトを実行させるなどPC単体のウイルス感染対応だけでは、攻撃や被害の全貌を確認することはできません。それを行うには、最新の攻撃手法を知るとともに、実際の事案から得た知見に基づいた調査や対応が必要となります。マクニカネットワークスでは、企業がこのような暴露型ランサムウェアの被害を最小限にとどめるため、実際に確認した手口と対応例を公開いたします。

また、実際のインシデント発生時に、企業や組織のセキュリティ担当者がインシデント調査対応と業務の復旧を同時にこなすことは非常に難しいのが現実です。マクニカネットワークスでは、原因調査と対応、業務復旧判断、業務復旧後のセキュリティ監視について正しく迅速な対応を行っていただくことができるよう、すでに何件ものこのような事案を対応したセキュリティ専門家が、独自の調査ツール等を活用してADや関連機器のログの”迅速な“調査と緊急対応を行い、事業再開に向けた助言も行っています。この度、法人様向けにActive Directory脅威診断を無償で提供させていただくキャンペーンを実施することになりましたので、ぜひご活用ください。

法人様向けActive Directory脅威診断キャンペーン

Active Directoryに対する脅威調査のため、EVTXログをお送りいただけましたら、脅威の有無を分析しレポートさせていただくサービスを法人様向けに無償で提供させていただきます。

期 間
2020年6月24日~9月30日申し込み分まで
形 態
スポット(1回)、A4判1枚の簡易報告書をご提供します。詳細は下記製品担当までお問い合わせください。

※本脅威診断で脅威が認められた場合、別途弊社のご提供するActive Directoryの更に詳細な調査・監視サービスを有償で承ることも可能です。

Active Directory脅威診断の特徴

ADに特化した検知ロジックを搭載しており、SIEM等では見つけられない脅威を見つけることができます。Active Directory脅威診断サービスで検出できる脅威は以下になります。

主な検出脅威
パスワードスプレイ攻撃
DCShadow
DCSync
BloodHound
Skeleton Key
登録IP以外からの管理者ログオン
登録管理者以外の管理者権限ログオン
不審なタスク登録
イベントログ消去

マクニカネットワークスでは今後も、サイバー攻撃の最新の動向を調査・公開し、お客様のサイバー攻撃への対応を支援してまいります。

暴露型ランサムウェア手口と対応例の詳細はこちら

https://www.macnica.net/pdf/sandj_ransomware.pdf

製品に関するお問い合わせ先

マクニカネットワークス株式会社
S&J 製品担当
TEL:045-476-2010
Email:

https://www.macnica.net/sandj/index.html

報道機関お問い合わせ先

マクニカネットワークス株式会社 https://www.macnica.net/
TEL: 045-476-2010
〒222-8562 横浜市港北区新横浜1-5-5
広報担当 磯崎(いそざき)

お問い合わせフォーム

※本文中に記載されている会社名は、各社の登録商標または商標です。