NEWS
ニュースリリース:2024.07.02

S&J、『Active Directory監視サービス』はOperation Blotless攻撃キャンペーンの検知が可能。独自開発エージェントによる調査レポート無償トライアル開始

S&J株式会社(本社:東京都港区、代表取締役社長:三輪 信雄、証券コード:5599、https://www.sandj.co.jp/、以下、S&J)は、独自開発SOCサービス「Active Directory監視サービス」により、Operation Blotless攻撃キャンペーンの検知が可能なことをお知らせします。
併せて、2024年7月8日(月)より、お客様のセキュリティ環境の安全性を独自開発エージェントにて調査・報告する調査レポート無償トライアルを開始することもお知らせします。

2024年6月25日(火)、JPCERTコーディネーションセンターからOperation Blotless攻撃キャンペーンに関する注意喚起が公表されました。
同センターでは、この攻撃キャンペーンのうち、脅威グループ「Volt Typhoon」による攻撃を例に、短期および中長期の対策を提示しています。

Volt Typhoonの侵害検知は困難

「Volt Typhoon」は、政府機関や重要インフラ企業への侵入経路を確保することを目的としていると見られています。

特徴:
・Active Directoryの各種ログが少ない
・初期侵入経路となった機器の各種ログが少ない
・侵害箇所が限定的

このグループは、固有のマルウェアをほとんど使用せず、環境寄生型の戦術を徹底しているため、被害現場にはインジケーター・オブ・コンプロマイズ(IoC)となる情報をほとんど残しません。
また、一回あたりの侵害期間が短く、侵害範囲も限定的であるため、被害現場に残るアーティファクトの量が少ないことが特徴です。
これにより、IoC情報を作出する機会とその量が大きく減り、検知が非常に困難になります。

『Active Directory監視サービス』でOperation Blotless攻撃キャンペーンの検知が可能に

S&Jで蓄積されたインシデントレスポンスのノウハウを元に開発された本サービスは、上記の特徴を持つOperation Blotless攻撃キャンペーンを現バージョンでも検知することができます。
また、2024年7月8日(月)には本攻撃に特化した検知ロジックのリリースを予定しており、より安全かつ安定したビジネス環境の実現を支援いたします。

"Operation Blotless攻撃キャンペーン"が検知可能『Active Directory監視サービス』
https://www.sandj.co.jp/operation_blotless/

『Active Directory監視サービス』の特徴

・S&Jが独自開発したエージェント(AD Agent)とクラウドでの独自ロジックの組み合わせにより、SIEMでは検知できない脅威を検出することができます。
・S&Jがこれまでに対応してきたランサムウェアやAPT攻撃などのインシデントレスポンス(IR)の経験をノウハウとして検知ロジックを組み込んでいます。
・AD特有の脅威(DCShadow、DCSync、Pass the Hash、Golden Ticket、BloodHoundなど)を検知することができます。
・AD固有の重要なパッチ(Zerologon、SIGRed、PrintNightmareなど)の適用チェックを行います。
・DC(Domain Controller)だけでなく、ファイルサーバーや仮想基盤などのWindows Serverを監視することで、より早く脅威を検知することが可能になります。
・脅威を検知することで攻撃に対する対処をいち早く実施することができます。
・24時間365日体制で監視を行います。
・検知した情報のみを送信するため、SIEMよりも転送するログ量が格段に少なくなります。
・不審な動作をしたアカウントは、リモートでアカウントの無効化を行います(別途オプション)。
・過検知をAIエイジング機能で大幅に削減しています。

AD Agent調査レポート無償トライアル

本トライアルでは、S&Jが独自開発したエージェント(AD Agent)の調査レポートを使用して対策の助言を無償で実施いただけます。



大量ログオン失敗やパッチの未適用、監査ログの出力設定やCPU使用率などを抽出し、お客様の環境に対して弊社コンサルタントがアドバイスをさせていただくことにより、より安全かつ安定したビジネス環境の実現を支援いたします。

ニュースリリース
https://prtimes.jp/main/html/rd/p/000000017.000062785.html
"Operation Blotless攻撃キャンペーン"が検知可能『Active Directory監視サービス』
https://www.sandj.co.jp/operation_blotless/