Microsoft DART ランサムウェアのアプローチとベスト プラクティス

人間が操作するランサムウェア は悪意のあるソフトウェアの問題ではありません。これは人間の犯罪的な問題です。 コモディティの問題に対処するために使用されるソリューションでは、次のような国家の脅威アクターに似た脅威を防ぐには十分ではありません。

  • ファイルを暗号化する前にウイルス対策ソフトウェアを無効またはアンインストールします
  • セキュリティ サービスとログ記録を無効にして、検出を回避します
  • 身代金要求を送信する前に、バックアップを見つけて破損または削除します

これらのアクションは、通常、管理目的で環境内に既に存在する可能性がある正当なプログラムで行われます。 犯罪の手では、これらのツールは悪意を持って攻撃を実行するために使用されます。

ランサムウェアの脅威の増大に対応するには、最新のエンタープライズ構成、最新のセキュリティ製品、およびデータが失われる前に脅威を検出して対応するためのトレーニング済みのセキュリティ スタッフの警戒の組み合わせが必要です。

Microsoft Detection and Response Team (DART)、セキュリティ侵害に対応して、お客様がサイバー回復力を持つよう支援します。 DART は、オンサイトの事後対応型インシデント対応とリモートプロアクティブ調査を提供します。 DART は、Microsoft の世界中のセキュリティ組織や内部の Microsoft 製品グループとの戦略的パートナーシップを使用して、可能な限り完全かつ徹底的な調査を提供します。

この記事では、お客様が独自のセキュリティ運用プレイブックにアプローチとベスト プラクティスの要素を適用することを検討できるように、DART が Microsoft のお客様のランサムウェア攻撃を処理する方法について説明します。

詳細については、次のセクションを参照してください。

Note

この記事のコンテンツは、人間が操作するランサムウェアと戦うための A ガイドから派生 しました:パート 1 と人間が操作するランサムウェアと 戦うためのガイド: パート 2 Microsoft セキュリティ チームのブログ投稿。

DART での Microsoft セキュリティ サービスの使用方法

DART は、すべての調査にデータに大きく依存し、Microsoft Defender for Office 365、Microsoft Defender for EndpointMicrosoft Defender for IdentityMicrosoft Defender for Cloud Apps などの Microsoft セキュリティ サービスの既存の展開を使用します。

Defender for Endpoint

Defender for Endpoint は、エンタープライズ ネットワーク セキュリティ アナリストが高度な脅威を防止、検出、調査、対応できるように設計された Microsoft のエンタープライズ エンドポイント セキュリティ プラットフォームです。 Defender for Endpoint では、高度な行動分析と機械学習を使用して攻撃を検出できます。 アナリストは、攻撃者の行動分析に Defender for Endpoint を使用できます。

チケットパス攻撃に対する Microsoft Defender for Endpoint のアラートの例を次に示します。

Example of an alert in Microsoft Defender for Endpoint for a pass-the-ticket attack

アナリストは高度なハンティング クエリを実行して、侵害のインジケーター (IOC) をピボットオフしたり、脅威アクター グループを特定した場合に既知の動作を検索したりすることもできます。

高度なハンティング クエリを使用して既知の攻撃者の動作を特定する方法の例を次に示します。

An example of an advanced hunting query.

Defender for Endpoint では、継続的な疑いのあるアクター アクティビティをMicrosoft 脅威エキスパートして、リアルタイムのエキスパート レベルの監視および分析サービスにアクセスできます。 また、必要に応じて専門家と共同作業を行い、アラートやインシデントに関するより多くの分析情報を得ることもできます。

Defender for Endpoint が詳細なランサムウェア アクティビティを表示する方法の例を次に示します。

Example of how Defender for Endpoint shows detailed ransomware activity.

Defender for Identity

Defender for Identity を使用して、侵害された既知のアカウントを調査し、組織内で侵害された可能性のあるアカウントを見つけます。 Defender for Identity は、DCSync 攻撃、リモート コード実行の試行、ハッシュパス攻撃など、アクターがよく使用する既知の悪意のあるアクティビティのアラートを送信します。 Defender for Identity を使用すると、疑わしいアクティビティとアカウントを特定して調査を絞り込めます。

次に、ランサムウェア攻撃に関連する既知の悪意のあるアクティビティに関するアラートを Defender for Identity が送信する方法の例を示します。

An example of how Defender for Identity sends alerts for ransomware attacks

Defender for Cloud Apps

Defender for Cloud Apps (旧称 Microsoft Cloud App Security) を使用すると、アナリストはクラウド アプリ全体で異常な動作を検出して、ランサムウェア、侵害されたユーザー、または不正なアプリケーションを特定できます。 Defender for Cloud Apps は、ユーザーによるクラウド サービスとクラウド サービスのデータ アクセスの監視を可能にする、Microsoft のクラウド アクセス セキュリティ ブローカー (CASB) ソリューションです。

次に、Defender for Cloud Apps ダッシュボードの例を示します。これにより、分析でクラウド アプリ全体の異常な動作を検出できます。

an example of the Defender for Cloud Apps dashboard.

Microsoft セキュリティ スコア

一連の Microsoft Defender XDR サービスは、攻撃対象領域を減らすためのライブ修復の推奨事項を提供します。 Microsoft セキュア スコアは、組織のセキュリティ体制を測定したものです。値が大きいほど、より多くの改善アクションが実行されたことを示します。 組織でこの機能を 使用して、環境に基づく修復アクションに優先順位を付ける方法の詳細については、Secure Score のドキュメントを参照してください。

ランサムウェア インシデント調査を実施するための DART アプローチ

脆弱性を修復できるように、敵対者が資産へのアクセスを取得した方法を決定するには、あらゆる努力をする必要があります。 そうしないと、同じ種類の攻撃が将来再び発生する可能性が高くなります。 場合によっては、脅威アクターが追跡をカバーし、証拠を破棄するための手順を実行するため、イベントのチェーン全体が明らかにならない可能性があります。

DART ランサムウェア調査の 3 つの主要な手順を次に示します。

ステップ 目的 最初の質問
1. 現状を評価する スコープを理解する ランサムウェア攻撃を最初に認識した理由は何ですか?

インシデントについて最初に知った日時は何ですか?

使用可能なログは何ですか。アクターが現在システムにアクセスしていることを示していますか?
2. 影響を受ける基幹業務 (LOB) アプリを特定する システムをオンラインに戻す アプリケーションには ID が必要ですか?

アプリケーション、構成、およびデータのバックアップは使用できますか?

バックアップの内容と整合性は、復元演習を使用して定期的に検証されますか?
3. 侵害復旧 (CR) プロセスを決定する 環境から攻撃者の制御を削除する 該当なし

手順 1: 現在の状況を評価する

現在の状況の評価は、インシデントの範囲を理解し、調査と修復のタスクを支援し、計画およびスコープを設定するのに最適なユーザーを決定するために重要です。 状況を判断するには、次の最初の質問を行う必要があります。

最初にランサムウェア攻撃を認識した理由は何ですか?

IT スタッフが、バックアップの削除、ウイルス対策アラート、エンドポイントでの検出と対応 (EDR) アラート、疑わしいシステムの変更など、初期の脅威を特定した場合、通常は受信と送信のすべてのインターネット通信を無効にすることで、攻撃を阻止するための迅速な決定的な対策を講じることが多いです。 この脅威はビジネス運用に一時的に影響を与える可能性がありますが、通常は、ランサムウェアを展開する敵対者よりもはるかに影響が小さくなります。

IT ヘルプデスクへのユーザーの呼び出しで脅威が特定された場合、攻撃の影響を防いだり最小限に抑えたりするための防御措置を講じるのに十分な事前警告が存在する可能性があります。 法執行機関や金融機関などの外部エンティティが脅威を特定した場合は、既に損害が発生している可能性があり、脅威アクターがネットワークを管理していることを示す証拠が環境内に表示されます。 この証拠は、ランサムウェアのメモ、ロックされた画面、身代金の要求などです。

インシデントについて最初に知った日付/時刻は何ですか?

初期アクティビティの日付と時刻を確立することは重要です。これは、攻撃者による迅速な勝利のために初期トリアージの範囲を絞り込むのに役立ちます。 その他の質問には、次のようなものがあります。

  • その日に不足していた更新プログラムは何ですか? 敵対者によって悪用された可能性のある脆弱性を理解することが重要です。
  • その日付に使用されたアカウントは何ですか?
  • その日から作成された新しいアカウントは何ですか?

利用可能なログは何ですか。アクターが現在システムにアクセスしていることを示していますか?

ウイルス対策、EDR、仮想プライベート ネットワーク (VPN) などのログは、侵害の疑いのあるインジケーターです。 フォローアップの質問には、次のようなものがあります。

  • Microsoft Sentinel、Splunk、ArcSight などのセキュリティ情報イベント管理 (SIEM) ソリューションでログが集計されていますか。 このデータの保持期間は何ですか?
  • 異常なアクティビティが発生している、侵害された疑いのあるシステムはありますか。
  • 敵対者が積極的に使用しているように見える侵害された疑いのあるアカウントはありますか?
  • EDR、ファイアウォール、VPN、Web プロキシ、およびその他のログにアクティブなコマンドと制御 (C2s) の証拠はありますか?

現在の状況の評価の一環として、侵害されなかった Active Directory ドメイン Services (AD DS) do コントローラーメイン doメイン コントローラーの最近のバックアップ、または最新の doメイン コントローラーが、メインテナントまたはアップグレードのためにオフラインになった必要がある場合があります。 また、社内のすべてのユーザーに多要素認証 (MFA) が必要であったかどうか、および Microsoft Entra ID が使用されたかどうかを判断します。

手順 2: インシデントが原因で使用できない LOB アプリを特定する

この手順は、必要な証拠を取得しながら、システムをオンラインに戻す最も迅速な方法を見極める上で重要です。

アプリケーションには ID が必要ですか?

  • 認証はどのように行われますか?
  • 証明書やシークレットなどの資格情報はどのように保存および管理されますか?

アプリケーション、構成、およびデータのテスト済みバックアップは使用できますか?

  • バックアップの内容と整合性は、復元演習を使用して定期的に検証されますか? このチェックは、構成管理の変更またはバージョンのアップグレード後に特に重要です。

手順 3: 侵害の復旧プロセスを特定する

通常は AD DS であるコントロール プレーンが侵害されていると判断した場合は、この手順が必要になることがあります。

調査には常に、CR プロセスに直接フィードする出力を提供するという目標が必要です。 CR は、攻撃者の制御を環境から削除し、設定された期間内にセキュリティ体制を戦術的に強化するプロセスです。 CR はセキュリティ侵害後に発生します。 CR の詳細については、Microsoft Compromise Recovery Security Practice チームの CRSP: 顧客 の横にあるサイバー攻撃と戦う緊急チームのブログ記事を参照してください。

手順 1 と 2 の質問に対する回答を収集したら、タスクの一覧を作成し、所有者を割り当てることができます。 インシデント対応エンゲージメントを成功させる上で重要な要素は、各作業項目 (所有者、状態、結果、日付、時刻など) の詳細なドキュメントを徹底的に作成し、エンゲージメントの終了時に結果を簡単にまとめるプロセスです。

DART の推奨事項とベスト プラクティス

ここでは、包含とインシデント後のアクティビティに関する DART の推奨事項とベスト プラクティスを示します。

封じ込め

包含は、含める必要がある内容を決定した後にのみ発生します。 ランサムウェアの場合、敵対者の目標は、高可用性サーバーの管理制御を可能にする資格情報を取得し、ランサムウェアをデプロイすることです。 場合によっては、脅威アクターが機密データを識別し、それを制御する場所に流出します。

戦術的回復は、組織の環境、業界、IT の専門知識と経験のレベルに固有です。 組織が実行できる短期的および戦術的な封じ込め手順には、次に示す手順をお勧めします。 長期的なガイダンスの詳細については、特権アクセスのセキュリティ保護に関するページを参照してください。 ランサムウェアと恐喝の包括的なビューと、組織を準備して保護する方法については、人間が操作するランサムウェアに関する説明を参照してください

新しい脅威ベクトルが検出されると、次の包含手順を同時に実行できます。

手順 1: 状況の範囲を評価する

  • 侵害されたユーザー アカウントはどれですか?
  • 影響を受けるデバイス
  • 影響を受けるアプリケーション

手順 2: 既存のシステムを保持する

  • AD DS インフラストラクチャの整合性のリセットを支援するために管理者が使用する少数のアカウントを除き、すべての特権ユーザー アカウントを無効にします。 ユーザー アカウントが侵害されたと思われる場合は、すぐに無効にします。
  • 侵害されたシステムをネットワークから分離しますが、シャットダウンしないでください。
  • すべての do で少なくとも 1 つの既知の良好な doメイン コントローラーを分離メイン-2 はさらに優れています。 ネットワークから切断するか、完全にシャットダウンします。 この目的は、最も脆弱なシステム ID へのランサムウェアの拡散を阻止することです。 すべての doメイン コントローラーが仮想である場合は、仮想化プラットフォーム自体が侵害された場合に備えて、仮想化プラットフォームのシステムドライブとデータ ドライブが、ネットワークに接続されていないオフライン外部メディアにバックアップされていることを確認します。
  • SAP、構成管理データベース (CMDB)、課金システム、アカウンティング システムなど、重要な既知の適切なアプリケーション サーバーを分離します。

これらの 2 つの手順は、新しい脅威ベクトルが検出されると同時に実行できます。 これらの脅威ベクトルを無効にし、ネットワークから分離する既知の適切なシステムを見つけようとします。

その他の戦術的な封じ込めアクションには、次のようなものがあります。

  • krbtgt パスワードを 2 回連続してリセットします。 スクリプト化された反復可能なプロセス使用を検討してください。 このスクリプトを使用すると、操作によって Kerberos 認証の問題が発生する可能性を最小限に抑えながら、krbtgt アカウントのパスワードと関連キーをリセットできます。 潜在的な問題を最小限に抑えるために、krbtgt の有効期間を最初のパスワード リセットの前に 1 回以上短縮して、2 つのリセットを迅速に実行できます。 環境内に保持する予定のコントローラーはすべてメインオンラインである必要があることに注意してください。

  • グループ ポリシーを do 全体に展開します。これによりメイン管理者と特権管理者専用ワークステーション (存在する場合) にメイン特権ログイン (Doメイン 管理) を実行できなくなります。

  • オペレーティング システムとアプリケーションに不足しているすべてのセキュリティ更新プログラムをインストールします。 不足しているすべての更新は、敵対者が迅速に特定して悪用できる潜在的な脅威ベクトルです。 Microsoft Defender for Endpoint の脅威と脆弱性管理は、不足している内容と、不足している更新プログラムの潜在的な影響を正確に確認する簡単な方法を提供します。

    • Windows 10 (またはそれ以降) のデバイスの場合は、すべてのデバイスで現在のバージョン (または n-1) が実行されていることを確認します。

    • マルウェアの感染を防ぐために、攻撃面の減少 (ASR) ルールを展開します。

    • すべての Windows 10 セキュリティ機能を有効にします。

  • VPN アクセスを含むすべての外部向けアプリケーションが多要素認証によって保護されていることを確認します。できれば、セキュリティで保護されたデバイスで実行されている認証アプリケーションを使用します。

  • プライマリ ウイルス対策ソフトウェアとして Defender for Endpoint を使用していないデバイスの場合は、ネットワークに再接続する前に、分離された既知の正常なシステムで Microsoft セーフty Scanner でフル スキャンを実行します。

  • レガシ オペレーティング システムの場合は、サポートされている OS にアップグレードするか、これらのデバイスを使用停止にします。 これらのオプションを使用できない場合は、ネットワーク/VLAN の分離、インターネット プロトコル セキュリティ (IPsec) 規則、サインイン制限など、これらのデバイスを分離するために可能なすべての手段を講じて、ビジネス継続性を提供するためにユーザー/デバイスのみがアプリケーションにアクセスできるようにします。

最もリスクの高い構成は、Windows NT 4.0 とアプリケーションと同じ古いレガシ オペレーティング システムでミッション クリティカルなシステムを実行し、すべてレガシ ハードウェア上で実行する構成で構成されています。 これらのオペレーティング システムとアプリケーションは安全ではなく脆弱であるだけでなく、そのハードウェアで障害が発生した場合、通常、最新のハードウェアでバックアップを復元することはできません。 代替のレガシ ハードウェアを使用できない限り、これらのアプリケーションは機能しなくなります。 これらのアプリケーションを現在のオペレーティング システムとハードウェアで実行するように変換することを強くお勧めします。

インシデント後のアクティビティ

DART では、各インシデントの後に、次のセキュリティに関する推奨事項とベスト プラクティスを実装することをお勧めします。

  • 内部ユーザーが外部コンテンツに簡単かつ安全にアクセスできるようにしながら、攻撃者がそれらを悪用するのをより困難にするために、電子メールおよびコラボレーション ソリューションのベスト プラクティスを確実に実施します。

  • 内部組織リソースゼロ トラストリモート アクセス ソリューションのセキュリティのベスト プラクティスに従います

  • 重大な影響を与える管理者から始めて、パスワードレス認証や MFA の使用など、アカウントセキュリティのベスト プラクティスに従ってください。

  • 特権アクセス侵害のリスクを軽減するための包括的な戦略を実装します。

  • ランサムウェアの手法をブロックし、攻撃からの迅速で信頼性の高い回復を確認するためのデータ保護を実装します。

  • 重要なシステムを確認します。 意図的な攻撃者の消去または暗号化に対する保護とバックアップを確認します。 これらのバックアップを定期的にテストして検証することが重要です。

  • エンドポイント、電子メール、ID に対する一般的な攻撃を迅速に検出して修復します。

  • 環境のセキュリティ体制を積極的に検出し、継続的に改善します。

  • 組織のプロセスを更新して主要なランサムウェア イベントを管理し、摩擦を避けるためにアウトソーシングを合理化します。

PAM

PAM (旧称階層化管理モデル) を使用すると、Microsoft Entra ID のセキュリティ体制が強化されます。これには次のものが含まれます。

  • 各レベルの "計画済み" 環境 1 アカウント (通常は 4 つ) の管理アカウントを分割します。

  • コントロール プレーン (以前の階層 0): doメイン コントローラーの管理関連付け、および他の重要な ID サービス (Active Directory フェデレーション サービス (AD FS) (ADFS) や Microsoft Entra Connect など)。これには、Exchange Server などの AD DS に対する管理アクセス許可を必要とするサーバー アプリケーションも含まれます。

  • 次の 2 つの平面は、以前の階層 1 でした。

    • 管理プレーン: 資産の管理、監視、およびセキュリティ。

    • データ/ワークロード プレーン: アプリケーションとアプリケーション サーバー。

  • 次の 2 つの平面は、以前の階層 2 でした。

    • ユーザー アクセス: ユーザー (アカウントなど) のアクセス権。

    • アプリ アクセス: アプリケーションのアクセス権。

  • これらのプレーンはそれぞれ、各プレーンに対して個別の 管理ワークステーションを持ち、そのプレーン 内のシステムにのみアクセスできます。 他のプレーンの他のアカウントは、それらのマシンに設定されたユーザー権限の割り当てを通じて、他のプレーン内のワークステーションとサーバーへのアクセスを拒否されます。

PAM の結果は次のようになります。

  • 侵害されたユーザー アカウントは、それが属するプレーンにのみアクセスできます。

  • 機密性の高いユーザー アカウントは、プレーンのセキュリティ レベルが低いワークステーションやサーバーにログインしないため、横移動が減少します。

LAPS

既定では、Microsoft Windows と AD DS には、ワークステーションとメンバー サーバー上のローカル管理アカウントの一元管理はありません。 これにより、これらのすべてのローカル アカウントまたは少なくともマシンのグループに共通のパスワードが与えられる可能性があります。 この状況により、攻撃者は 1 つのローカル管理者アカウントを侵害し、そのアカウントを使用して組織内の他のワークステーションまたはサーバーにアクセスできるようになります。

Microsoft の LAPS は、 ポリシー セットに従ってワークステーションとサーバーのローカル管理パスワードを定期的に変更するグループ ポリシー クライアント側拡張機能を使用して、これを軽減します。 これらのパスワードはそれぞれ異なり、AD DS コンピューター オブジェクトに属性として格納されます。 この属性は、その属性に割り当てられたアクセス許可に応じて、単純なクライアント アプリケーションから取得できます。

LAPS では、AD DS スキーマを拡張して、追加の属性、LAPS グループ ポリシー テンプレートをインストールできるようにする必要があります。また、クライアント側の機能を提供するために、すべてのワークステーションとメンバー サーバーに小規模なクライアント側拡張機能をインストールする必要があります。

LAPS は Microsoft ダウンロード センターから入手できます。

その他のランサムウェア リソース

Microsoft からの重要な情報:

Microsoft 365:

Microsoft Defender XDR:

Microsoft Azure:

Microsoft Defender for Cloud Apps:

Microsoft セキュリティ チームのブログ記事: