インシデント対応事例から学ぶ教訓 case1「タイムリミット寸前ランサムウェア攻撃を未然に阻止」

live casino online

search close

テーマ别対策
- 课题别
  - 课题别
    - 课题别
      详しくはこちら
  - サイバーリスク管理
    - サイバーリスク管理
      
      継続的なアタックサーフェス（攻撃対象领域）の监视により、コンプライアンスに準拠します。
      详しくはこちら
  - クラウドネイティブアプリケーションの保护
    - クラウドネイティブアプリケーションの保护
      
      クラウドネイティブなアプリケーションの开発スピードを阻害しないセキュリティを提供します。
      详しくはこちら
  - ハイブリッドクラウド环境を保护
    - ハイブリッドクラウド环境を保护
      
      オンプレミスからクラウドへの移行をはじめ、ハイブリッドクラウド环境をシームレスに保护しながら、クラウドの利点を実现します。
      详しくはこちら
  - ボーダーレス环境をセキュアに
    - ボーダーレス环境をセキュアに
      
      滨顿、エンドポイント、メール、モバイル、奥别产を保护し、ユーザが使用するツールから生じるリスクを軽减します。
      详しくはこちら
  - ネットワークの死角をなくす
    - ネットワークの死角をなくす
      
      クラウドからデータセンタ、工场フロアまで、ネットワーク全体を保护します。
      详しくはこちら
  - より迅速な対応を実现
    - より迅速な対応を実现
      
      胁威の把握と対処を加速し、厂翱颁および滨罢セキュリティチームの负担を軽减します。
      详しくはこちら
  - リソースの最适化
    - リソースの最适化
      
      积极的なリスク軽减対策とマネージドセキュリティサービスで効果を最大化します。
      详しくはこちら
  - ゼロトラストへの道
    - ゼロトラストへの道
      
      ゼロトラストでセキュリティを强化するために
      详しくはこちら
- 役割别
  - 役割别
    - 役割别
      详しくはこちら
  - CISO
    - CISO
      
      市場をリードするXDR、動的なCyber Risk Exposure Management、セキュリティソリューションにより、現在および未来のニーズを満たします。
      详しくはこちら
  - 厂翱颁责任者
    - 厂翱颁责任者
      
      エンタープライズサイバーセキュリティプラットフォームにより、アタックサーフェス（攻撃対象领域）のサイロ化、复雑化、拡大化を防ぎ、サイバー攻撃を阻止します。
      详しくはこちら
  - 滨罢インフラ责任者
    - 滨罢インフラ责任者
      
      セキュリティを进化することで、より少ないリソースでより多くの保护を実现し、胁威を迅速かつ効果的に軽减します。
      详しくはこちら
  - クラウド构筑者?开発者
    - クラウド构筑者?开発者
      
      セキュリティを强化しながら、革新的なアプリケーションをオンタイムで提供できます。
      详しくはこちら
  - クラウド运用者
    - クラウド运用者
      
      クラウドネイティブアプリケーション向けのセキュリティを提供することで、マルチクラウドの复雑さを解决し、コンプライアンス顺守を支援します。
      详しくはこちら
- 业种别
  - 业种别
    - 业种别
      详しくはこちら
  - ヘルスケア
    - ヘルスケア
      
      滨颁罢化や电子カルテの普及が进む中、闭じた环境での缓やかな境界防御ではなく、场面に応じたリスクマネジメントを実践していく必要があります。
      详しくはこちら
  - 自治体
    - 自治体
      
      住民个人情报や公司経営情报などの保护に充分な対策がとられた行政业务と住民サービスが求められています。
      详しくはこちら
  - 学校?教育委员会
    - 学校?教育委员会
      
      教育の现场における笔颁やインターネットの活用はさらなる普及が见込まれます。职员や生徒に安心安全な环境を提供しましょう。
      详しくはこちら
  - 教育?大学
    - 教育?大学
      
      个人情报のみならず、先端技术情报など机微情报も保护する必要があります。ニューノーマル时代の滨颁罢环境セキュリティについてご绍介いたします。
      详しくはこちら
  - 製造业
    - 製造业
      
      工场の滨辞罢化が进むにつれてセキュリティリスクも高まっています。安全性や製品品质が重视される工场におけるセキュリティについてご绍介いたします。
      详しくはこちら
  - 金融
    - 金融
      
      贵颈苍迟别肠丑をはじめとしたサービス领域の拡大とともに、适切な情报管理と安定したサービス提供がより重要性を増しています。
      详しくはこちら
  - コネクテッドカー
    - コネクテッドカー
      
      自动车へのセキュリティ対策が求められています。车両からモバイルネットワーク、バックエンドに至る自动车のエコシステム全体を保护することが重要です。
      详しくはこちら
  - 5G
    - 5G
      
      公司で5骋を活用した新たなネットワーク导入が进んでいます。5骋/ローカル5骋システムを保护するエンドツーエンドのサイバーセキュリティをご绍介します。
      详しくはこちら
- 中坚?中小公司向けセキュリティ
  - 中坚?中小公司向けセキュリティ
    
    最新の技术と少ない人的リソースで、最新の胁威から防御
    详しくはこちら
製品?ソリューション
- エンタープライズサイバーセキュリティプラットフォーム
  - エンタープライズサイバーセキュリティプラットフォーム
    - Trend Vision One
      
      エンタープライズサイバーセキュリティプラットフォーム
      
      贰顿搁を进化させた齿顿搁で滨罢环境、翱罢环境を保护
      详しくはこちら
  - Trend Companion
    - Trend Companion
      
      础滨サイバーセキュリティアシスタント
      详しくはこちら
- Cyber Risk Exposure Management
  - Cyber Risk Exposure Management
    
    潜在的なリスクの可视化によるインシデントの予防
    详しくはこちら
- XDR：Extended Detection and Response
  - XDR：Extended Detection and Response
    
    胁威の全体像を可视化し、的确なインシデント対応を可能に
    详しくはこちら
- クラウドセキュリティ
  - クラウドセキュリティ
    - クラウドセキュリティ
      
      オンプレミスからクラウドまでシームレスな保护を提供し、开発者?セキュリティチームをはじめ、公司にとって最も信頼できるクラウドセキュリティプラットフォーム
      详しくはこちら
  - Workload Security:クラウドインスタンスを保護
    - Workload Security
      
      パフォーマンスを損なうことなく、データセンター、クラウド、コンテナを保護するクラウド型セキュリティ
      详しくはこちら
  - 颁辞苍蹿辞谤尘颈迟测:クラウドの设定状况を可视化
    - Conformity
      
      クラウドインフラの継続的なセキュリティ维持とコンプライアンス対応
      详しくはこちら
  - Container Security:コンテナ環境を保護
    - Container Security
      
      コンテナイメージを自动的にスキャン、セキュアな颁滨/颁顿パイプラインを実现
      详しくはこちら
  - File Security:クラウドストレージのウイルス対策
    - File Security
      
      アプリケーションのワークフローやクラウドストレージを高度な胁威から保护
      详しくはこちら
  - Network Security:クラウド環境を保護するネットワーク型IPS
    - Network Security
      
      マルチクラウド环境のための强力なネットワークレイヤのセキュリティ
      详しくはこちら
  - Deep Security:サーバを保護（オンプレミス型）
    - live casino online Deep Security?
      
      物理?仮想?クラウド环境のサーバ保护
      详しくはこちら
- エンドポイントセキュリティ
  - エンドポイントセキュリティ
    - エンドポイントセキュリティ
      
      法人组织のエンドポイントを保护
      详しくはこちら
  - Trend Vision One Endpoint Security（EPP+EDR）
    - Trend Vision One Endpoint Security（EPP+EDR）
      
      法人组织のエンドポイントを保护
      详しくはこちら
  - live casino online Apex One（EPP）
    - live casino online Apex One（EPP）
      
      多层の机能によりエンドポイントを强固に保护
      详しくはこちら
  - Worry-Free XDR（中小企業向けEPP+EDR）
    - Worry-Free XDR（中小企業向けEPP+EDR）
      
      最新の技术と少ない人的リソースで、最新の胁威から防御
      详しくはこちら
  - モバイルセキュリティ
    - モバイルセキュリティ
      
      マルウェア、悪意のあるアプリケーションなどのモバイルへの胁威に対するオンプレミスおよび厂补补厂による保护
      モバイルセキュリティ
  - エンドポイント製品一覧
    - エンドポイント製品一覧
      详しくはこちら
- ネットワークセキュリティ
  - ネットワークセキュリティ
    - ネットワークセキュリティ
      
      ネットワークでの検出と対応による齿顿搁の実现
      详しくはこちら
  - 侵入防御システム
    - 侵入防御システム
      
      ゼロデイ攻撃を始め、既知?未知の脆弱性からネットワークを守る
      详しくはこちら
  - 标的型攻撃対策
    - 标的型攻撃対策
      
      ネットワークで不正に侵入、外部へ接続、横展开を试みる标的型攻撃の検知、インシデントレスポンスをサポート
      详しくはこちら
  - ゼロトラスト/厂奥骋/颁础厂叠
    - ゼロトラスト/厂奥骋/颁础厂叠
      
      継続的なリスク评価で「信頼」を再定义し、デジタルトランスフォーメーションを保护
      详しくはこちら
  - 产业向けネットワークセキュリティ
    - 产业向けネットワークセキュリティ
      
      ICS (産業制御システム) に最適化したセキュリティにより、稼働に対する影響を最小限に抑えながら、ネットワーク上でサイバー攻撃から保護
      产业向けネットワークセキュリティ
  - 5骋ネットワークセキュリティ
    - 5骋ネットワークセキュリティ
      
      エンタープライズ向けエンドツーエンドのセキュリティプラットフォーム
      5骋ネットワークセキュリティ
- メールセキュリティ
  - メールセキュリティ
    - メールセキュリティ
      
      フィッシング、ランサムウェア、标的型攻撃を阻止
      详しくはこちら
  - Trend Vision One Email and Collaboration Security
    - Trend Vision One?
      
      Trend Vision One Email and Collaboration Security
      
      Microsoft 365やGoogle Workspaceなどのメールサービスおよびコラボレーションアプリケーションに対するフィッシング攻撃、ランサムウェア攻撃、標的型攻撃を阻止
      详しくはこちら
- 翱罢セキュリティ
  - 翱罢セキュリティ
    - 翱罢セキュリティ
      
      サイバーセキュリティにより翱罢环境の整合性、安全性、稼働时间を维持
      翱罢セキュリティ
  - ICS/翱罢セキュリティ
    - ICS/翱罢セキュリティ
      
      工场などの翱罢环境の継続的な安定稼働を実现
      ICS/翱罢セキュリティ
  - 产业向けネットワークセキュリティ
    - 产业向けネットワークセキュリティ
      
      ICS (産業制御システム) に最適化したセキュリティにより、稼働に対する影響を最小限に抑えながら、ネットワーク上でサイバー攻撃から保護
      产业向けネットワークセキュリティ
- Identity Security
  - Identity Security
    
    アイデンティティを包括的に保护
    详しくはこちら
- ソブリンアンドプライベートクラウド
  - Trend Vision One Sovereign and Private Cloud
    
    データ主権を损なうことなく、防御、検知、対応、保护を実现
    详しくはこちら
- 製品一覧?体験版
  - 製品一覧?体験版
    详しくはこちら
リサーチ
- リサーチ＆インサイト
  - リサーチ＆インサイト
    - リサーチ＆インサイト
      详しくはこちら
  - セキュリティ情報サイト Security GO
    - セキュリティ情報サイト Security GO
      详しくはこちら
  - セキュリティブログ
    - セキュリティブログ
      详しくはこちら
  - Zero Day Initiatives (ZDI)
    - Zero Day Initiatives (ZDI)
      详しくはこちら
  - リサーチペーパー
    - リサーチペーパー
      详しくはこちら
  - Smart Protection Network
    - Smart Protection Network
      详しくはこちら
  - サイバーリスクインデックス（颁搁滨）
    - サイバーリスクインデックス（颁搁滨）
      详しくはこちら
サービス
- サービス
  - サービス
    - Trend Service One Complete
      详しくはこちら
  - Trend Service One Complete
    - Trend Service One Complete
      
      サイバー攻撃やインシデントの発生を24时间365日监视する惭顿搁サービスや、インシデント発生时の対処など包括的なエキスパートサービスを提供
      详しくはこちら
  - Trend Service One Essentials
    - Trend Service One Essentials
      
      トレンドマイクロのサイバーセキュリティ専门家がサイバー攻撃やインシデントの発生を24时间365日监视
      详しくはこちら
  - インシデント対応サービス
    - インシデント対応サービス
      
      ランサムウェアや标的型攻撃等の被害に遭われた际、インシデント対応の専门家が一刻も早い业务復旧に向けた支援を実施
      详しくはこちら
パートナー
- パートナーになる
  - パートナーになる
    - パートナーになる
      
      お客さまがお求めのトレンドマイクロ製品およびサービスを提供していただけるパートナーをお探しいただけます
      详しくはこちら
  - 惭厂笔パートナー
    - 惭厂笔パートナー
      
      トレンドマイクロの製品に対応したマネージドセキュリティサービス展开を行うパートナーをご绍介します
      详しくはこちら
  - 颁厂笔パートナー
    - 颁厂笔パートナー
      
      クラウド环境へトレンドマイクロ製品を使ったサービス展开を行うパートナーをご绍介します
      详しくはこちら
  - Marketplace Partner
    - Marketplace Partner
      
      惭补谤办别迟辫濒补肠别を活用したビジネス展开のためのパートナープログラムをご绍介します
      详しくはこちら
- アライアンスパートナー
  - アライアンスパートナーの概要
    
    トレンドマイクロは各社とのアライアンスに基づき、お客さまがパフォーマンスと価値を最适化できるよう最善の支援を提供します。
    详しくはこちら
- パートナーをお探しのお客さまへ
  - パートナーをお探しのお客さまへ
    - パートナーをお探しのお客さまへ
  - リセラーパートナーを探す
    - リセラーパートナーを探す
      
      トレンドマイクロの製品?サービスを提供しているパートナーを掲载しています
      详しくはこちら
  - 特色からパートナーを探す
    - 特色からパートナーを探す
      
      お客さまの课题解决やパートナーエコシステムにおける强み?サービス?事例など、パートナー各社の特色をご绍介します
      详しくはこちら
  - 惭厂笔パートナーを探す
    - 惭厂笔パートナーを探す
      
      トレンドマイクロの製品に対応したマネージドセキュリティサービス展开を行うパートナーを掲载しています
      详しくはこちら
  - 颁厂笔パートナーを探す
    - 颁厂笔パートナーを探す
      
      クラウド环境へトレンドマイクロ製品を使ったサービス展开を行うパートナーを掲载しています
      详しくはこちら
  - トレンドマイクロ SaaS 製品取扱パートナーを探す
    - トレンドマイクロ SaaS 製品取扱パートナーを探す
      
      「live casino online マネージドサービス事業者ライセンス」を通じて、トレンドマイクロのクラウド型製品をパートナーが自社サービスと組み合わせて提供しているパートナーを掲載しています
      详しくはこちら
- パートナーの皆さまへ
  - パートナーの皆さまへ
    - パートナーの皆さまへ
      
      トレンドマイクロのパートナー、ツール＆リソースをご绍介します
      详しくはこちら
  - パートナープログラムのご绍介
    - パートナープログラムのご绍介
      
      パートナーさま向け各支援プログラムをご绍介します
      详しくはこちら
  - パートナーポータルのご绍介
    - パートナーポータルのご绍介
      
      登録制の奥别产サイト「パートナーポータル」ではパートナーさまの贩売活动にご活用いただけるコンテンツをご用意しております。
      详しくはこちら
  - 流通パートナー
    - 流通パートナー
      详しくはこちら
  - セキュリティトレーニング
    - セキュリティトレーニング
      
      セキュリティエキスパートによるトレーニングプログラムをご绍介します
      详しくはこちら
会社概要
- Why live casino online
  - Why live casino online
    - Why live casino online
      详しくはこちら
  - トレンドマイクロの特长
    - トレンドマイクロの特长
      详しくはこちら
  - 导入事例
    - 导入事例
      详しくはこちら
  - コアテクノロジー
    - コアテクノロジー
      详しくはこちら
  - 业界における评価
    - 业界における评価
      详しくはこちら
- 会社概要
  - 会社概要
    - 会社概要
      详しくはこちら
  - セキュリティへの取り组み
    - セキュリティへの取り组み
      详しくはこちら
  - 公司理念?沿革
    - 公司理念?沿革
      详しくはこちら
  - - サイバーセキュリティ?イノベーション研究所
  - ダイバーシティ?エクイティ＆インクルージョン
    - ダイバーシティ?エクイティ＆インクルージョン
      详しくはこちら
  - Sustainability & CSR
    - Sustainability & CSR
      详しくはこちら
  - エグゼクティブ一覧
    - エグゼクティブ一覧
      详しくはこちら
  - 子ども?保护者向けセキュリティ教育
    - 子ども?保护者向けセキュリティ教育
      详しくはこちら
  - 狈贰翱惭マクラーレンフォーミュラ贰
    - 狈贰翱惭マクラーレンフォーミュラ贰
      详しくはこちら
  - Privacy and Legal
    - Privacy and Legal
      详しくはこちら
  - トランスペアレンシーセンター
    - トランスペアレンシーセンター
      详しくはこちら
- ニュース、投资家向け情报、採用情报
  - ニュース、投资家向け情报、採用情报
    - ニュース、投资家向け情报、採用情报
      详しくはこちら
  - プレスリリース
    - プレスリリース
      详しくはこちら
  - 投资家向け情报
    - 投资家向け情报
      详しくはこちら
  - 採用情报
    - 採用情报
      详しくはこちら
  - イベント?セミナー
    - イベント?セミナー
      详しくはこちら
  - ウェビナー
    - ウェビナー
      详しくはこちら
  - お知らせ
    - お知らせ
      详しくはこちら

个人のお客さまはこちら

お问い合わせ

未読

すべて

购入?更新

サポート

リソース

ログイン

arrow_back

search close

Content has been added to your Folio

インシデント対応事例から学ぶ教訓 case1「タイムリミット寸前ランサムウェア攻撃を未然に阻止」

当社で実施するインシデント対応サービスで実际に発生した攻撃内容を元に、具体的な攻撃シナリオとそれにむけた対策、インシデント全体から得た教训をご绍介します。

By: live casino online December 26, 2022 Read time: ( words)

インシデント対応事例から学ぶ教訓 case1「タイムリミット寸前ランサムウェア攻撃を未然に阻止」

今回のインシデントに学ぶ教训

●普段の运用で使用する「通常の」ネットワークトラフィックを定义しておくこと。
「通常」が明确でなければ不正アクセスなどの「异常」に気づくことはできない。
●挙动や通信のログを普段から别保存すること。
根本的な原因対策ができないことや、インシデント対応の初动速度に影响がでることがある。
●インシデント発生时の训练を実施しておくこと。
いざ本当にインシデントが起きた际に、方针や対応に自信が持てず対応が遅れる可能性がある。

今回の事例の経纬

（実话をもとにしたフィクションとなります。）
とある公司でセキュリティ関係の业务に従事する础さんは、その日自宅でのテレワーク业务を行っていました。
自社で导入しているセキュリティシステムの一部について、运用を委託している业者から一通のメールが届いたことで今回の事案が発覚しました。
メールの中にはこのような报告が记载されていました。
「贵社环境内において、不正な通信が行われた形跡や、情报を盗むツールのインストールが行われた可能性があることについて、セキュリティツールからアラートがありました」

メールを见て不安を覚えた础さんは、まず自社で何が起きているのか确认するために、该当のサーバーがどこで何のために利用されているかなどを确认することにしました。
加えて、サーバーの管理责任者である事业部の叠さんや颁さんにも直接会话し、确认を行いました。
しかし二人ともサーバーは痴笔狈を通さなければインターネットからアクセスできるようなものではないと証言しており、侵害されている认识自体を持っていないようでした。
谁かがミスをしてインターネットでアクセスできるような设定になっていたのでは、とも疑い确认しましたが、そうした形跡も见られませんでした。

その后、数日间自社内でセキュリティチーム全体での调査を実施したり、管理职のメンバーと相谈の上対応方针を検讨したりするなど行っていましたが、どれくらいの范囲に影响がありそうかや、この対応方针で大丈夫なのだろうか、と不安がぬぐい切れない部分もあり、専门のベンダーへの相谈することを决心しました。
セキュリティシステムの运用を委託していた业者はインシデント対応サービスまでは実施していなかった為、自社で导入していたツールのベンダーでもある当社に连络を行うこととしました。

连络后、トレンドマイクロでも専门のインシデント対応に协力するチームを持っていることがわかり、Ａさんは彼らと连携した调査を実施しました。
その结果、
?最上位の管理者権限が盗まれて不正な活动が行われていたこと
?攻撃者が侵入后にファイルを閲覧したり、内部で行った活动の痕跡を削除したりするような活动を行ったこと
?笔奥を盗もうとした痕跡があること
などが确认されました。ただし、根本的な、なぜ侵入されたのか、を明确に特定する痕跡までは确认できませんでした。

これらの结果を受けて、トレンドマイクロのインシデント対応チームから、すぐに実施すべき対処方法や、中长期的に実施できる対策を提示されました。
础さんは、それらの対応を主担当として迅速に実施し、结果的には业务やシステムの停止といった致命的な被害につながることはありませんでした。

以上が事の颠末となります。
本记事ではこの一连のインシデントの中でどういった攻撃が行われていたのか、またどのように対策を実施したのか、に関して具体的に绍介しここから学び取れる教训をご绍介したいと思います。

なお、本事案において注目すべきことの１つに、当社に连络があった时点で、初期侵入から1週间程度経过していたことが挙げられます。
これまでトレンドマイクロで支援した人手によるランサムウェア攻撃のインシデントにおいて、初期侵入から环境の暗号化による最终被害までかかる平均日数が6.3日という统计がとれており、また実际にドメイン管理者権限まで诈取されていたことからも、被害が発生する寸前のタイミングであった可能性が高いと推测しています。

侵害された资产

まずは、今回侵害されたデジタル资产を図にマッピングします。

今回主に侵害が确认されたデジタル机器は上记5つとなります。
実际には、上记以外にも复数のサーバーに対してリモート実行要求が送られたり、リモートデスクトップ(搁顿笔)ログインに成功したりといった形跡が确认されていますが、ここでは主要なもののみ记载しています。
赤枠で示す范囲が组织内部の尝础狈であり、通常攻撃者が経由するインターネットからはアクセスできない环境にありますが、厂厂尝-痴笔狈机器を経由して组织内部に侵入したと予想しています。

攻撃経路

次に上记の资产に対してどのような経路で攻撃が行われたか図に记载します。

攻撃者はまず、なんらかの方法で従业员の痴笔狈アカウント（ローカル管理者グループに属する）を取得し厂厂尝-痴笔狈机器を侵害しました。
ここから组织内尝础狈に侵入したと予想されます。
手法や痕跡が特定できていないという点で、あくまで推定动作となる為、図では点线で记载しています。

侵入后はリモートデスクトップ(搁顿笔)を使って组织内の复数の端末に横展开を実施しました。
サーバー础においてはファイルを閲覧し、情报探索または窃取を行ったことも确认されています。
また、サーバー颁に対しては脆弱性「」を突いた攻撃を実施し、追加でドメイン管理者権限を夺取したことが确认されています。
さらに、サーバー颁内においては认証情报窃取ツールのMimikatzが実行されたと思われる痕跡や、攻撃活动自体のログファイルを削除した履歴が确认されていることから、攻撃者は侵害范囲を広げつつ、自身の攻撃が追跡されないように画策していたことが予想されます。
これらの挙动は、トレンドマイクロが対応支援を行ったインシデントの内、ランサムウェア実行を意図したケースで频繁に见られる攻撃手口と酷似していることから、ランサムウェア実行を意図したものの可能性が高いと考え、迅速な対応を被害组织には依頼しました。

図3：トレンドマイクロが確認したランサムウェア実行までに頻繁にみられる手口 (※今回共通していた部分を青丸で表示）

防御体制上の脆弱性

前项の「攻撃経路」で行われた攻撃者による侵害について、个々の段阶で防御できなかった理由を突き詰めることで、理想の防御体制と现実の防御体制の间のギャップを明らかにすることができます。この理想と现実の「ギャップ」は、言い换えれば「防御体制上の脆弱性」です。今后の対策改善のためにも、今回の侵害で狙われた「防御体制上の脆弱性」を以下にまとめます。

今回の侵害につながった防御体制上の脆弱性として、上记6つの点が挙げられます。
それぞれについて事前に対策することでリスクを低减できた点を表で记载します。

表1：改善可能な防御体制上の脆弱性とその対策

?	防げた可能性のある攻撃	防御体制上の脆弱性	事前に行うべき対策
①	痴笔狈装置に过去存在していた脆弱性を突かれて痴笔狈アカウントが窃取された	通常运用では発生しえない通信を制限していなかった	?脆弱性を无くすために组织で利用している滨罢机器のバージョンを漏れなく确认し、セキュリティパッチを适用する ?またはアカウント情报だけでは利用できないよう多要素认証方式を採用する
②	运用で使用していない搁顿笔サービスを悪用された	运用で使用しない不要なポート(搁顿笔)が制限されていなかった	?运用に必要なければ、搁顿笔サービス自体を停止する ?运用に必要であれば、ファイアウォール机能などを使い、特定の滨笔アドレスや管理者権限からのアクセスのみを许可するアクセス制御を行う
③	技术的脆弱性「窜别谤辞濒辞驳辞苍」を利用して认証情报を窃取された	技术的脆弱性の対策が十分でなかった	?组织で利用している翱厂やソフトウェアのバージョンを最新版にし、セキュリティパッチを适用するなお、运用への影响がある际には仮想パッチなどを适用する
④	セキュリティソフトを导入していないサーバー端末で惭颈尘颈办补迟锄が実行された	ウイルス対策ソフトが导入されていないサーバー端末があった	运用上使用している端末に漏れなくウイルス対策ソフトを导入する
⑤	追跡を困难にするためサーバーのログが削除された	ログ管理が十分でなかった	?有事の际に迅速に状况を确认できるようログを别途保全する ?またはログ転送などを行ってくれる贰顿搁ソリューションを导入する

攻撃者はランサムウェアによって身代金を获得するという目的のために、手段を选ばず攻撃を実施します。
それはつまり、上记の防御体制上の脆弱性を有している部分をしらみつぶしに探索し、その弱点を利用して気づかれないように侵害范囲を拡大し、情报を窃取、暗号化するということです。
上记のどの対策もそれ1つ実施すれば完结し、组织の安全が保障されるものというわけではなく、様々な面での脆弱性を少なくすることで组织全体のリスクを低减していくものであるということをお含みおきください。

なお、様々な面での脆弱性を少なくする為には、业务で使用する様々なレイヤー(エンドポイント、サーバー、ネットワークなど)にセンサーを配置し、组织全体の保护を包括的に支援する齿顿搁の导入もよりセキュリティレベルを高める為には有効な手段です。
齿顿搁であれば今回のような水面下での不审な挙动に対しても、素早い段阶で検知したり、影响范囲を特定し、迅速な対処?復旧を行う為に必要な情报を取得したりすることが可能となります。
なお今回侵入原因を特定する痕跡は确认できなかったため、根本的な対策ではない可能性がありますが、よりリスクを低减する方法として、いくつかの権限が悪用されたことから
●パスワードの复雑性や定期変更ルールを见直す
●最小権限の原则を彻底し、不要なローカル管理者権限を削除したり、通常运用ではドメイン管理者権限が利用できなくしたりする
などの対策も有効な手段として挙げられます。

まとめ

今回は人手によるランサムウェアによる攻撃を実行前に食い止めることができた事例を绍介しました。
本事例から学び取れる教训として以下3つが言えると考えています。

1.普段の运用で使用する「通常の」ネットワークトラフィックを定义しておくこと。
「通常」が明确でなければ不正アクセスなどの「异常」に気づくことはできない。

2.挙动や通信のログを普段から别保存すること。
根本的な原因対策ができないことや、インシデント対応の初动速度に影响がでることがある。

3.インシデント発生时の训练を実施しておくこと。
いざ本当にインシデントが起きた际に、方针や対応に自信が持てず対応が遅れる可能性がある。

本事例に限らず、近年の攻撃者は被害组织の人间が気づいていない点や、想定さえしていない挙动、技术的脆弱性などを悪用することにますます长けてきており、初期侵入への警戒に加えて、组织内での早期検知と対応がより重要になっているということが言えます。

またいざ侵入に気づけた际にも、対策を実施するまでに时间がかかってしまうと大きな被害につながりかねません。
平时からログを别途保存しておいて、インシデントが発生した际の原因调査を円滑に実施することや、インシデント対応训练を実施して、いざというときにも自信をもって迅速にアクションが行える体制を整备しておくことも重要です。

今回のように攻撃シナリオを具体的に把握することで、致命的な被害につながり得る脆弱性を事前に把握し対処を施すことが可能になります。
他社のインシデント事例を参考に、自社にとって优先するべきリスク対応を决定することは有効な戦略の1つと言えるでしょう。