マクニカネットワークスは、「暴露型ランサムウェア」による被害を最小限に留めるための、手口と対応例を6月24日に公開した。
「暴露型ランサムウェア」は、単にファイルを暗号化して金銭を要求するだけでなく、暗号化する前に情報を盗み出し、金銭を支払わない場合は復元ツールを渡さないだけでなく、盗み出した情報を公開すると脅迫する手口のこと。
攻撃では、Active Directoryの管理権限が奪われ、グループポリシーが改ざんされてウイルスが全ユーザーに配信されたり、ファイルサーバがランサムウェアによって暗号化されたりする、といった状況が確認されている。ただし、これらは実際には社内システムに侵入され、情報窃取が行われた後の二次的な被害が見えているだけであり、アンチウイルスソフトを実行させるなどパソコン単体のウイルス感染対策だけでは、攻撃の被害や全貌は確認できない。
攻撃の被害や全貌の確認には、最新の攻撃手法を知るとともに、実際の事案から得た知見に基づいた調査や対応が必要となる。同社は、企業が「暴露型ランサムウェア」による被害を最小限に留めるべく、実際に確認した手口と対応例を公開した。
実際のインシデント発生時には、企業や組織のセキュリティ担当者がインシデント調査対応と業務の復旧を同時にこなすことは非常に難しい。そこで同社は、企業が原因調査と対応、業務復旧判断、業務復旧後のセキュリティ監視について正しく迅速な対応を行えるよう、セキュリティ専門家が独自の調査ツールなどを活用してActive Directoryや関連機器のログを迅速に調査するとともに、緊急対応、事業再開に向けた助言も行っている。
6月24日~9月30日の期間には、Active Directoryに対する脅威調査を目的に、同社に送付されたETVXログにおける脅威の有無を分析してレポートするサービスを、法人向けに無償提供する。
Active Directoryの脅威診断では、Active Directoryに特化した検知ロジックによって、SIEMなどでは見つけられない脅威の発見が可能。以下のような脅威の検出に対応している。
・パスワードスプレイ攻撃
・DCShadow
・DCSync
・BloodHound
・Skeleton Key
・登録IP以外からの管理者ログオン
・登録管理者以外の管理者権限ログオン
・不審なタスク登録
・イベントログ消去
