セキュリティに関して課題がありますか?
|
サポート
|
お問い合わせ
|
03-4595-0120
ブログ
/
ランサムウェアの拡散阻止
Maritza Marie Dubec
シニアコンテンツマーケティングマネージャー
Illumio Editorial
2025年12月11日
23分読む

門の向こう側:ゼロトラストと Active Directory の防御

マークス&スペンサーが昨年4月に停電したとき、それは単なる停電ではなかった。英国の小売業者は、自社の中核となるアイデンティティ基盤を狙ったランサムウェア攻撃を阻止するため、オンラインサービスを停止した。

研究者たちは現在、この事件が、英国と米国を拠点とする緩やかな結束の攻撃者集団「スキャタード・スパイダー」によるものだとしている。犯人グループのメンバーには16歳ほどの若者もいる。このグループは、マルウェアや恐喝ツールをレンタルするのと同じくらい簡単にサイバー攻撃を実行できる ランサムウェアアフィリエイトサービス である DragonForce を使用していました。

さらに追い打ちをかけるように、DragonForce は M&S の CEO である Stuart Machin 氏に直接メールを送り、情報漏洩について自慢し、支払いを要求した。

この事件を際立たせたのは動機ではなく、その精密さだった。攻撃者は、エンドユーザーのシステムに留まるのではなく、ネットワークを経由してドメイン コントローラー (企業全体の ID と信頼を管理するシステム) へと侵入しました。

これはより広範な傾向を反映しており、ランサムウェアグループは攻撃を加速させるためにアイデンティティインフラストラクチャをますます標的にしています。この変化がどのように起こったか、そしてそれをどのように阻止できるかを理解すれば、なぜアイデンティティが現代のランサムウェア防御の中心になっているのかがわかります。

ドラゴンフォースの攻撃件数(国別) GROUP-IB アナリスト。DragonForce は、攻撃をカスタマイズすることが多い、ランサムウェア アズ ア サービス アフィリエイト プログラムです。

アイデンティティの核心が守られていないとき

捜査官らは、 M&S の攻撃者が Microsoft Active Directory の重要ファイルである NTDS.dit ファイル を盗み出したことを確認しました。  

Active Directory は、ID システム全体を保存および適用するサーバーであるドメイン コントローラー上で実行されます。簡単に言えば、彼らはドメイン コントローラ データベースを盗みました。ドメイン コントローラ データベースとは、企業内の誰が信頼されるか、そのユーザーが何にアクセスできるか、そして他のすべてのシステムがどのようにID を検証するかを決定するシステムです。  

この強盗は、金庫の中身だけでなく、鍵や設計図、そして自由に新しい紙幣を印刷する権限までも奪って銀行から逃げ出すことのデジタル版だった。  

この攻撃により、組織が公に認めたくない現実が明らかになりました。つまり、攻撃者はドメイン コントローラーを侵害することが、企業全体を侵害する最も速くて確実な方法であることを知っているのです。

M&S 攻撃は、現代の脅威アクターがしばしばどのように考えているかを示しています。一度ネットワーク内に侵入すると、エンドユーザーのマシンに留まったり、暗号化するために別のサーバーを探したりすることはありません。多くの場合、ドメイン コントローラーへのパスを見つけることに重点が置かれます。

これは、Active Directory が、ユーザー アカウント、サービス アカウント、権限、認証チケット、そして大規模な企業環境を結び付ける信頼関係など、すべてをまとめるシステムであるためです。これは、 ゼロ トラストアプローチでは遮断されるパスです。

「ドメイン コントローラーを制御すれば、組織の ID インフラストラクチャを制御できる」と、Illumio のシステム エンジニアリング ディレクターの Michael Adjei 氏は述べています。「神のような許可を自分に与えることができる それを信頼するすべてのシステムを制御するためです。

この洞察はCISA からの警告と一致しています。

「攻撃者がドメイン コントローラーに到達しても、単にアクセスできるだけではありません。彼らは組織のアイデンティティ構造全体を継承します」とアジェイ氏は語った。「アカウント、権限、トークン、サービス資格情報、すべてが Active Directory から流れます。」  

AD ディレクトリ サーバー、DNS、ファイル サービスという 3 つの役割を示す Windows Server 2012 サーバー マネージャー ダッシュボード。

チェンジ・ヘルスケアの侵害:誰も止められなかった足掛かり

同様のことは、2024 年 2 月に発覚したChange Healthcare の侵害でも発生しました。これは米国史上最大の医療サイバー インシデントの 1 つです。

ALPHV Blackcat の関係者と思われる攻撃者は、 多要素認証が欠如しているリモート サーバーを通じて最初の足掛かりを得ました。その後、攻撃者は環境内を横方向に移動して権限を昇格し、最終的に会社の中核となる ID インフラストラクチャに関連付けられたシステムに到達しました。

その結果は壊滅的なものとなり、数週間に及ぶシステム停止、数十億ドルの損失、全国的な薬局の混乱、そして約 2 億人に影響を与えるデータ漏洩が発生しました。

ユナイテッドヘルス・グループのCEOアンドリュー・ウィッティ氏は身代金をビットコインで支払ったと報じられている。  

しかし、支払いをしてもデータは戻りませんでした。ウィッティ氏は、チェンジ・ヘルスケアが何も回収できなかったことを確認した。これはランサムウェア事件ではよくある結果であり、専門家が一切の支払いを警告する主な理由である。  

米国務省は、ALPHV/BlackCat のリーダーを特定または追跡するのに役立つ情報に対して 1,500 万ドルを提供しています。

侵害の加速方法:ドメインコントローラへの経路

この侵害は、アイデンティティ層の障害とゼロトラスト制御の欠如がもたらす実際のコスト、つまり 1 つのギャップ、急速な横方向の攻撃、そして身代金を払っても回復できない全国的な混乱を示しています。

侵入後、脅威の攻撃者はすべてのシステムを攻撃する必要はなく、制御されていない最も抵抗の少ない東西の経路さえあれば十分です。  

侵入を阻止するものが何もないため、攻撃者はドメイン コントローラに向かって横方向に移動して、被害者の中核となる ID システムを掌握し、1 つの足場を完全な侵害に変えます。

Adjei 氏は、ドメイン コントローラーの侵害のほとんどは、パッチが適用されていないシステム、ID 制御の構成ミス、権限が多すぎる古いサービス アカウントなど、小さなことから始まると説明しました。これらの隙間は、攻撃者に静かな足場を与え、内部から環境を調査するチャンスを与えます。

そこから先の偵察は通常のように見えます: グループ検索ドメイン信頼性チェックKerberos クエリ、およびサービス列挙。いずれも単独ではアラームをトリガーできない可能性があります。しかし、これらの手順を組み合わせると、ネットワーク内で最も重要なターゲット、つまりドメイン コントローラーとそこに到達できる ID が明らかになります。

「多くの組織が、ドメイン コントローラーが監視や物理的な分離の背後にあるため安全であると想定していることが危険です」と Adjei 氏は言います。「しかし、攻撃者が直接攻撃してくることは稀です。彼らは、脆弱な認証情報、到達可能なシステム、あるいは自分たちの動きを決して妨げないフラットな東西ネットワークなど、開いている内部パスを何でもたどります。」  

M&S と Change Healthcare の両方の侵害のパターンは、攻撃者が Active Directory に到達できる場合、エスカレーションは避けられないという点を明確に示しています。

「ログだけでなく、 グラフベースの可視性が必要です」と Adjei 氏は言います。「エンティティ間の関係、つまりアカウント A がドメイン コントローラーを介して認証するシステム B とどのように通信するかを理解する必要があります。ここで依存関係のマッピングが重要になります。」

セグメンテーションによるアイデンティティコアの保護

ドメイン コントローラーはオープン ネットワーク上に存在できません。あらゆるものが到達可能であれば、攻撃者も到達可能になります。  

セグメンテーションにより、これらのシステムの周囲にシンプルで強力なゼロトラスト境界が作成されます。不要な東西トラフィックをブロックし、攻撃者がより深く移動するために使用する簡単なパスを削除します。

最初のステップは、すべてがどのように接続されているかを確認することです。どのシステムが Active Directory と通信し、どのアカウントがそれに依存しているかをマップします。このビューを使用すると、アクセスを制限して、ドメイン コントローラーを本当に必要とするシステムだけがアクセスできるようにすることができます。

セグメンテーションに対するゼロ トラスト アプローチは、クラウド、データ センター、エンドポイントなど、あらゆる環境で機能する必要があります。それがなければ、攻撃者はおそらくそれらすべてを通過できるでしょう。  

セグメント化された ID コアは、小さな侵害が完全な侵害に発展するのを防ぎます。

横方向の移動に対する検知と対応の改善

ほとんどの攻撃は、最初の足掛かりができてから初めて深刻になります。  

そのため、検出では最初の侵害を超えて調べる必要があります。強力なセキュリティは明確なコンテキストから始まります。つまり、ワークロード、アカウント、およびドメイン コントローラーが相互にどのように関連しているかを把握する必要があります。

次に、横方向の移動信号に注目します。これらには、システム間の奇妙な接続、異常なトラフィック パターン、またはまったく触れることのない何かに到達する ID が含まれます。検出によって重要なイベントのみが強調表示されるため、チームはノイズを減らしてより迅速に行動できます。

最後のステップは迅速な封じ込めです。検出とセグメンテーションは連携して動作し、システムが危険な動作をするとすぐにそれを隔離する必要があります。これにより、攻撃者がアイデンティティ コアに向かって移動するのを阻止し、侵入の爆発半径を縮小します。

Illumio Insights を今すぐ無料で体験して、ドメイン コントローラー攻撃が拡大する前に検出して阻止する方法を学びましょう。

関連トピック

ランサムウェアの拡散阻止

関連記事

REvilを阻止する:イルミオが最も多作なランサムウェアグループの1つをどのように破壊できるか
ランサムウェアの拡散阻止

REvilを阻止する:イルミオが最も多作なランサムウェアグループの1つをどのように破壊できるか

イルミオのゼロトラストセグメンテーションが、サプライチェーン業務を攻撃する最も多作なランサムウェアグループの1つであるREvilの阻止にどのように役立つかをご覧ください。

詳細はこちら
世界的な法律事務所がイルミオを使用してランサムウェア攻撃を阻止した方法
ランサムウェアの拡散阻止

世界的な法律事務所がイルミオを使用してランサムウェア攻撃を阻止した方法

イルミオのランサムウェア防御が、システム、評判、クライアントへの重大な損害を回避しながら、世界的な法律事務所への攻撃を迅速に阻止した方法。

詳細はこちら
.Net アセンブリを使用したランサムウェア手法の謎を解き明かす: EXE vs. DLL アセンブリ
ランサムウェアの拡散阻止

.Net アセンブリを使用したランサムウェア手法の謎を解き明かす: EXE vs. DLL アセンブリ

.Net アセンブリ (EXE vs. DLL) の主な違いと、最初の高レベル コードでの実行方法について説明します。

詳細はこちら
マスターキー問題:Salesloftの侵害と継続的な脅威の内幕
ランサムウェアの拡散阻止

マスターキー問題:Salesloftの侵害と継続的な脅威の内幕

Salesloft の情報漏洩によって明らかになった OAuth トークンの不正使用、隠れた信頼リスク、そして脅威が広がる前に封じ込める方法をご覧ください。

詳細はこちら
現代のトロイの木馬:攻撃者が陸上でどのように生活し、どのように阻止するか
ランサムウェアの拡散阻止

現代のトロイの木馬:攻撃者が陸上でどのように生活し、どのように阻止するか

攻撃者がPowerShellやSSHなどの信頼できるツールを使用して「陸上で生活している」方法と、可視性と封じ込めでLOTLの脅威を阻止する方法を明らかにします。

詳細はこちら
Here Be Dragons: 重要インフラに対するサイバー脅威の増大
サイバーレジリエンス

Here Be Dragons: 重要インフラに対するサイバー脅威の増大

世界的な緊張が高まり、国家が支援するグループが公益事業や医療などを標的にする中、2025 年に重要インフラに対するサイバー攻撃がどのように増加するかをご覧ください。

詳細はこちら

違反を想定します。
影響を最小限に抑えます。
レジリエンスを高めます。

ゼロトラストセグメンテーションについて詳しく知る準備はできていますか?

詳しく見る