ランサムウェア攻撃に有効なActive Directoryの要塞化

メルマガ登録する

メルマガ登録する

ランサムウェア攻撃や標的型攻撃について、ラックのサイバー救急センターに寄せられる支援要請からも深刻な被害に見舞われている企業は後を絶ちません。このような状況を少しでも改善するために、WindowsとActive Directory（以下、AD）を要塞化（ハードニング）するという対策があります。

この記事では、ランサムウェア攻撃に対して有効なWindowsとADの要塞化と、ラックが新しく提供を開始する「Windows・AD要塞化分析サービス」について解説します。

事業継続に深刻なダメージを与える侵入型ランサムウェア攻撃
不正侵入を想定した対策の必要性
Windows・AD要塞化分析サービスとは
おわりに

事業継続に深刻なダメージを与える侵入型ランサムウェア攻撃

侵入型ランサムウェア攻撃はバックアップも含めたデータを暗号化し、その復元と引き換えに被害組織に金銭を要求します。近年、この攻撃により組織は製品生産の停止や医療提供の中断など、事業継続に深刻な影響を受けています。

皆様の組織ではランサムウェア攻撃や、同じ攻撃手法が使用される標的型攻撃へどのような対策を講じていますか？利用者への標的型攻撃メール訓練、VPN製品を含む脆弱性の管理、RDPやSMBに代表される不正侵入に悪用されるサービスへのネットワークのアクセス制御、推測し難いパスワードの設定など、攻撃者によるインターネットからの不正侵入を防止する対策が中心ではないでしょうか。

不正侵入を想定した対策の必要性

不正侵入を防ぐ対策を講じていても、不正侵入を許してしまった後を想定した対策はしていますか？

利用者が誤って攻撃者からのメールに添付されたファイルを開いたり、海外支店が導入したVPN製品の脆弱性管理が徹底できなかったり、管理者が誤ってネットワークのアクセス制御を緩くしてしまい、かつサーバで文字数が短いパスワードを設定していたなど、攻撃者がインターネット経由で組織内のネットワークへ不正侵入する可能性は大いにあり得ます。

また、システム管理を依頼している管理会社を経由した侵害や、使用しているソフトウェアのアップデートサーバの侵害など、サプライチェーンが攻撃を受けることで侵害されることもあり、自身では管理が及ばないケースもあります。

そこで、攻撃者が組織内に不正侵入した場合を想定して、コンピュータ上のイベントを記録するEDRを導入している組織も少なくないと思います。EDRはランサムウェア攻撃や標的型攻撃への対策として有効なことは言うまでもありません。

EDRとは｜次世代アンチウイルスとの違いや導入のポイントをわかりやすく解説

EDRのような不審な挙動の検知や記録を中心とした対策以外に、上記の脆弱性の管理、ネットワークのアクセス制御、推測し難いパスワードの設定などのように、防止につながる対策はないのでしょうか。対策を検討するにあたり、攻撃者がデータの窃取や暗号化の目的を達成するために、組織内に不正侵入した後、どういうことを行うかを理解しておく必要があります。

攻撃者が組織内に不正侵入した後の行動

攻撃者は組織内に不正侵入した後、横展開（Lateral Movement：ラテラルムーブメント）を通じて、データの窃取や暗号化を達成するために必要な権限まで昇格します。一般的にはシステムの管理者権限、ADであればドメイン管理者になります。攻撃者はどうやって横展開、権限昇格を実現するのでしょうか。

これには大きく2つの方法があります。1つはWindowsやADなど、ソフトウェアの脆弱性の悪用です。重大な脆弱性に対しては修正プログラムを適用している組織も多いと思いますが、それでも攻撃者によるドメイン管理者権限への昇格が散見されます。なぜでしょうか？

その理由は、もう1つの方法である「なりすまし」によるものです。ただし、WindowsやADにおいては、推測し易いパスワードや窃取されたパスワードによる「なりすましログイン」だけではありません。Red Team Notesで紹介されているように、なりすまし方法や、なりすましで使用する資格情報（パスワード、ハッシュ化されたパスワード、Kerberosチケット）が多くあり、一般のシステム管理者には理解が難しいものです。

※ 厳密には紹介されている中には、なりすましの方法や資格情報の窃取以外にも情報収集、権限不備等も含まれています。
Active Directory & Kerberos Abuse | Red Team Notes

Windows・ADでの対策

これらバリエーションの多いなりすましへの対策は、アカウント管理の強化や資格情報窃取に対するセキュリティ設定があります。攻撃者がインターネットから組織内に不正侵入してきた場合でも、攻撃者による権限昇格を難しくします。さらに、攻撃者の試行が増えれば、組織が攻撃者に気付く機会が増えます。加えて、罠を用意することも有効です。

以下は、具体的な対策の一部です。

複数のシステムそれぞれの管理者が異なる場合、それぞれのシステムのサーバ管理者のアカウントは「Domain Admins」グループに含めず、「Domain Admins」に含まないサーバ管理用グループを作成する。管理すべきサーバの「Local Administrators」グループに作成したグループを追加することで、サーバ管理者のアカウントが侵害されても該当のアカウントで悪用可能となるサーバを限定する。そのような管理方法が取れない場合、それぞれのシステムのサーバ管理者のアカウントについて「ログオン先」コンピュータを制限する。
管理者アカウントは「Protected Users」グループに追加し、資格情報の保護を強化する。

残念ながら、これらの対策を実施・検討している組織はあまり多くありません。パスワードの長さや複雑さの設定変更のみで留まっている場合が多くあります。一方、MicrosoftはWindowsやADに関する新しいセキュリティ機能をアップデートし続けていますが、可用性の面からすぐにはデフォルト有効とならない機能もあります。これらはシステム管理者に知られることなく、活用されないことが多々あります。

そこでラックは、アカウント管理やセキュリティ設定の状況を分析して、上記を含む横展開への対策の中からお客様に必要な対策をアドバイスする「Windows・AD要塞化分析サービス」を提供開始しました。

Windows・AD要塞化分析サービスとは

ラックは長年、大規模に侵害された標的型攻撃やランサムウェア攻撃に対する、インシデントレスポンスの支援やフォレンジック調査を提供してきました。その対応中や対応後に、被害組織のセキュリティ対策をサポートすることも多くあります。

具体的な対策例としては、EDRの導入やネットワークのアクセス制御の見直し、バックアップの強化、対策後のペネトレーションテスト、リスク分析、CSIRTの構築を始めとする、様々なコンサルティングです。

特に、WindowsやAD上で生じている標的型攻撃やランサムウェア攻撃で被害を受けた組織には共通して、費用対効果の高い対策であるWindowsやADのアカウント管理、セキュリティ設定についてアドバイスしています。本サービスは、これらをより効率よくお客様に提供するためにパッケージ化したものです。

Windows・AD要塞化分析サービスでは、お客様のWindowsやADを分析し、セキュリティ対策状況を調査して不足している対策のみを優先順位付きで報告します。さらに、設定方法を具体的に分かりやすく解説している200ページを超える設定ガイドにより、迅速なシステムの要塞化が実現できます。製品等の導入は不要で、低コストで高いセキュリティ対策効果を得られます。

サービスの強み

本サービスの中核は、実際の攻撃手法を理解し、長年にわたりラックがセキュリティ対策を整理してきたことに由来します。

一つひとつの対策はほぼ全て公開されていますが、標的型攻撃やランサムウェア攻撃に特化してWindowsやADへの対策が整理されている資料は少なく、あったとしても対策が不十分であったり、個々の解説が分かりにくかったり、対応するには高度な技術が必要で、一般的なシステム管理者には理解が難しいこともあります。

Windows・AD要塞化分析サービスは、標的型攻撃やランサムウェア攻撃への対策支援を通じて、参考資料を整理し蓄積してきたラックの知見を利用できます。より詳細にセキュリティ対策箇所を理解し、セキュリティの強化を実現しましょう。