ランサムウェアの攻撃手法に学ぶーIT資産管理のススメー | MNB(マクニカネットワークスブログ)

ランサムウェアの攻撃手法に学ぶーIT資産管理のススメー

3行で分かる記事のサマリ

  • ランサムウェア被害が拡大する要因の一つとして侵入後のラテラルムーブメントへの対策不足がある
  • ラテラルムーブメントの被害を最小化する方法として、事前の対策が重要
  • IT資産管理を適切に行うことで、感染拡大のリスクを抑えることができる

目次

  1. はじめに
  2. IT資産管理が必要となる背景
  3. ラテラルムーブメントの進み方
  4. ラテラルムーブメントに対する対策方法
  5. まとめ

1.はじめに

近年、多くの企業でランサムウェア被害の報告が相次いでおり、侵入を防ぐための対策としてVPN機器を中心とした外部公開機器の管理を行うことのできるASMツールへの注目が集まっています。
しかし、ASMでは対処すべき機器の情報やどのような対応が必要であるかの情報を教えてくれる一方、実際にすべての脅威に対応しきることは難しく、優先順位をつけた対応が必要となってきます。
そこで本記事では、侵入後のリスク最小化の方法の一つとしてIT資産管理を軸にした対策をご紹介します。

2.IT資産管理が必要となる背景

近年、社内外を問わず企業の情報資産は加速度的に増加してきており、IT部門管理の資産だけでなく、ユーザー部門が独自に構築した情報資産や、守るべき資産が把握しきれていないケース、Excelベースでの管理など、緊急時にリアルタイムで資産状況を確認することができないケースが多く見られます。
上記のように十分な管理体制が整えられない場合、ラテラルムーブメントによりルート権限を持つユーザーがたやすく奪取されてしまい、自社の重要資産の被害リスクがいっそう高まってしまう恐れがあります。
 
なぜIT資産管理がこうした被害リスクとつながるのでしょうか?ラテラルムーブメントの進み方と合わせて説明します。
まずはラテラルムーブメントがどのように進んでいくのかを確認してみましょう。

3.ラテラルムーブメントの進み方

ラテラルムーブメントが開始されるためには初期侵入が完了している必要がありますが、ここではその部分は完了しているとし、ラテラルムーブメント部分に絞って解説をしていきます。

①内部NWの偵察活動

攻撃者は以降の侵入プランを立てるため、ポートスキャンやトラフィックの監視、公開情報からの情報収集などを通して、対象のNWマッピングを実施します。
また、フィッシングやキーロガー、その他さまざまな情報を用いて、内部のアカウント認証情報の窃取も行われます。

②権限昇格

最終的な目的達成のために、ドメインコントローラーの管理者権限を持ったアカウントへの昇格が行われます。これらの行動には様々な方法がとられますが、例としては既存アカウントを操作して権限付与を行う、認証情報のダンプなどがあります。

③機密情報へのアクセス

権限昇格によりドメインコントローラーが奪取された後は、セキュリティーツールによる検知を避けつつ、機密情報、個人情報へのアクセス、これらのデータの外部転送を行い、最終的にランサムウェアによる組織への脅迫・破壊活動につながります。 

ランサムウェアの攻撃手法1.PNG

4.ラテラルムーブメントに対する対策方法

ここまでラテラルムーブメントがどのように進行していくのかを見てきましたが、これらの攻撃に対しての予防策をご紹介します。

IT資産の可視化

管理者が認知していない野良の端末から侵害が行われてしまうと、管理者が攻撃に気づく機会が失われてしまいます。また、こうした端末はセキュリティ対策が不十分な可能性が高く、脆弱なシステムのままでいる可能性も高く危険です。

IT資産に対する定期的なパッチ適用

攻撃の多くはバッチ適用が不十分で放置された脆弱性を活用して行われます。パッチ管理を適切に行うことは攻撃を受ける可能性を未然に防ぐという観点では非常に有効な対策となります。

強力なパスワードポリシー

パスワードに対する攻撃は、権限を奪取する手段として一般的な方法です。安全に複雑なパスワードポリシーを設定し、それを遵守させる、パスワードを使いまわさないといった基本的な対策も有効です。

ユーザー権限の適切な管理

特権アカウントが不必要に多い場合、それだけアカウント奪取される可能性が高くなります。最小特権の原則は権限を割り当てる際、常に意識すべき項目でしょう。権限設定が十分に行われていない場合、一般ユーザーから特権アカウントまで水平移動ができてしまう可能性もあります。 

ランサムウェアの攻撃手法2.PNG

5.まとめ

本記事ではランサムウェアを代表とする標的型攻撃の対策として、IT資産管理でできる予防策を紹介してきました。標的型攻撃を誰でも受ける可能性がある昨今、入口対策も重要ですが、リスクの最小化にも寄与できるIT資産管理について今一度見直してみる必要があるのではないでしょうか? 

弊社では、ご紹介した対策を横断的に対応できるソリューション「TANIUM」を提供しています。
自社でどういった施策が必要なのか、今後の対応方針を検討するうえで助けとなるアセスメントサービスも提供しておりますので、ご興味をお持ちの方はお気軽にお問い合わせください。

▼資料

 製品カタログやホワイトペーパーのダウンロードはこちら

資料DLはこちら.png

▼オンデマンド動画

 究極のサイバーハイジーンの実現へ!Step by Stepで考える対策アプローチ

動画視聴申込はこちら.png

▼お問い合わせ窓口

お問い合わせはこちら.png

メルマガ登録バナー(セキュリティ).jpg

ランキング