SERVICE

Active Directory
監視サービス（自社開発製品）

ランサムウェアの脅威から企業を守る独自開発AD監視

ランサムウェアの侵入を防ぐにはAD（Active Directory）の監視は必須です。当社のAD監視は、膨大なADのイベントログを使って監視する一般的なSIEM監視に比べて安価で、かつ正確に兆候を掴むことができます。セキュリティ事故対応の経験を持つS＆Jが独自に開発した『AD Agent』はサーバーインストール型を採用し、サーバー内部情報とADのイベントログを繋ぎ合わせた判断ができるため、より正確な兆候をより早く掴むことができます。

知らないうちにActive Directoryが乗っ取られていた

最近、企業の事業継続に大きく影響する重大なセキュリティインシデントが多数発生しています。
従来のランサムウェアは、ファイルの暗号化を行い、暗号化解除のために身代金の要求をしていました。
しかし、新型ランサムウェアは、情報の搾取を行った上でファイルの暗号化を行い、搾取した情報の一部をダークウェブ上に公開し、全ての情報を公開されたくなければ身代金を支払えという攻撃に進化しています。
具体的には、特定の組織を標的としたランサムウェアが内部に侵入・感染して大規模なシステム障害が発生する、機密情報が大量に盗まれてダークウェブなどで公開されるといった事態です。
これらのインシデントでは、早い段階で攻撃者にActive Directoryサーバーの管理者権限が奪われていたと考えられますが、標的となった企業はそのことに気付いておらず、被害の発生を防ぐことができませんでした。

	従来のランサムウェア（～2019前）	新型ランサムウェア（2019～）暴露型　システム破壊型
感染経路	主にメール	VPN、RDP、メール
暗号化	感染したPCのみ、または、ワーム	ファイルサーバ、AD、組織内の全PC
情報窃盗	しない	する
Active Directory	ほぼ侵入しない	ほぼ侵入する
脅迫	暗号化の解除	暗号化の解除情報公開を止める
脅迫金額	数万円から数十万円	数百万円から十億円超
攻撃者	経済的な犯罪組織（中規模）	経済的な犯罪組織（大規模）
被害が外部に知られるか	組織外に漏れる可能性は低い	公開サイトに掲載され、外部に知られてしまう（掲載されないこともある）。

進化し続ける新型ランサムウェアの特徴

ファイルの暗号化だけではなく、情報を窃取し、外部への公開で脅迫

Active Directory、全パソコンの暗号化だけではなく、情報窃取を公開されてしまうダメージは大きい

ばらまきメールで感染させることは少ない

1件で数千万円～十億円を狙っている

対象を絞り込んでハッカー自身が操作を行う

標的型攻撃に近く、標的型攻撃対策（入口・出口・端末）だけでは不十分

情報を大量に盗み出すまでの時間が早い

早いケースの場合、4時間でActive Directory陥落

重要システムのActive Directoryに対する攻撃を検知する有効な手段をＳ＆Ｊが開発

独自開発の『AD Agent』をインストールすることでイベントログだけでは検出できない脅威を検知します。

SIEMでは検知が困難な脅威（DCShadow、DCSync、Pass The Hash、Golden Ticket、BloodHoundなど。）を検知します。
重要なパッチ（Zerologon、SIGRed、PrintNightmareなど）の適用チェックを行います。
脅威を検知することで攻撃に対する対処をいち早く実施できます。
24時間365日体制で監視を行います。
検知した情報のみを送信するため、SIEMよりもログ量が格段に少なくなります。
不審なアカウントからのログインはリモートでアカウントの無効化を行います（要オプション）。
過検知をAIエイジング機能で大幅に削減しています。

※アドバンスト（ADV）プランのみが対象の項目もありますので詳細は以下をご確認ください。

Active Directory監視サービスプラン

アドバンスト(ADV)　※当社推奨

Active Directoryログ出力設定を変更いただき、監視サービスをご利用になれます。
後述のSTDより検知する脅威は多くなります。
PrintNightmare攻撃の検知が可能です。

スタンダード(STD)

Active Directoryログ出力設定を変更することなく(一部設定を除く)、監視サービスをご利用になれます。
検知する脅威はADVより少なくなります。

Active Directory監視サービスで検出される脅威例

対象脅威	ADサーバー		ファイルサーバー		備考
対象脅威	STD	ADV	STD	ADV	備考
パスワードスプレイ攻撃	〇	〇	－	－	－
BloodHound	〇	〇	〇	〇	別途おとりアカウント追加設定が必要
アカウントロック	〇	〇	〇	〇	－
不審なPowerShell実行	〇	〇	〇	〇	PowerShell5.0以上が必要
不審なタスク登録	－	〇	－	〇	別途ログ出力設定が必要
RDPログオン/ログオフ	〇	〇	〇	〇	－
PSEXECが実行された	〇	〇	〇	〇	－
不審なコマンドの実行	－	〇	－	〇	別途ログ出力設定が必要
不審な管理共有	－	〇	－	〇	別途ログ出力設定が必要
Pass The Hash	〇	〇	〇	〇	－
Golden Ticketの利用	－	〇	－	〇	別途ログ出力設定が必要
DCShadow	－	〇	－	－	別途ログ出力設定が必要
DCSync	－	〇	－	〇	別途ログ出力設定が必要
Skeleton Key	－	〇	－	〇	別途ログ出力設定が必要
イベントログ消去	〇	〇	〇	〇	－
意図しない管理者登録	〇	〇	－	－	－
Kerberoasting攻撃	－	〇	－	－	別途ログ出力設定が必要
Zerologon	〇	〇	－	－	－
不審なグループポリシー操作	〇	〇	－	－	－
監査ログ設定が不十分	〇	〇	〇	〇	－
重要なセキュリティパッチが未適用	〇	〇	〇	〇	一部のパッチ適用状況のみ確認
PrintNightmare攻撃	－	〇	－	－	別途ログ出力設定が必要
PetitPotam攻撃	〇	〇	－	－	－
アンチウイルスソフトの停止	－	〇	－	〇	別途ログ出力設定が必要
Brute Force攻撃	〇	〇	－	－	別途ログ出力設定が必要

対象脅威	ADサーバー		ファイルサーバー
対象脅威	STD	ADV	STD	ADV
パスワードスプレイ攻撃	〇	〇	－	－
BloodHound	〇	〇	〇	〇
アカウントロック	〇	〇	〇	〇
不審なPowerShell実行	〇	〇	〇	〇
不審なタスク登録	－	〇	－	〇
RDPログオン/ログオフ	〇	〇	〇	〇
PSEXECが実行された	〇	〇	〇	〇
不審なコマンドの実行	－	〇	－	〇
不審な管理共有	－	〇	－	〇
Pass The Hash	〇	〇	〇	〇
Golden Ticketの利用	－	〇	－	〇
DCShadow	－	〇	－	－
DCSync	－	〇	－	〇
Skeleton Key	－	〇	－	〇
イベントログ消去	〇	〇	〇	〇
意図しない管理者登録	〇	〇	－	－
Kerberoasting攻撃	－	〇	－	－
Zerologon	〇	〇	－	－
不審なグループポリシー操作	〇	〇	－	－
監査ログ設定が不十分	〇	〇	〇	〇
重要なセキュリティパッチが未適用	〇	〇	〇	〇
PrintNightmare攻撃	－	〇	－	－
PetitPotam攻撃	〇	〇	－	－
アンチウイルスソフトの停止	－	〇	－	〇
Brute Force攻撃	〇	〇	－	－

対象脅威	備考
パスワードスプレイ攻撃	－
BloodHound	別途おとりアカウント追加設定が必要
アカウントロック	－
不審なPowerShell実行	PowerShell5.0以上が必要
不審なタスク登録	別途ログ出力設定が必要
RDPログオン/ログオフ	－
PSEXECが実行された	－
不審なコマンドの実行	別途ログ出力設定が必要
不審な管理共有	別途ログ出力設定が必要
Pass The Hash	－
Golden Ticketの利用	別途ログ出力設定が必要
DCShadow	別途ログ出力設定が必要
DCSync	別途ログ出力設定が必要
Skeleton Key	別途ログ出力設定が必要
イベントログ消去	－
意図しない管理者登録	－
Kerberoasting攻撃	別途ログ出力設定が必要
Zerologon	－
不審なグループポリシー操作	－
監査ログ設定が不十分	－
重要なセキュリティパッチが未適用	一部のパッチ適用状況のみ確認
PrintNightmare攻撃	別途ログ出力設定が必要
PetitPotam攻撃	－
アンチウイルスソフトの停止	別途ログ出力設定が必要
Brute Force攻撃	別途ログ出力設定が必要

導入事例

Active Directory監視サービスは、生活家電、小売、介護サービス、流通、運輸などのサービスで30社以上に導入いただいています。

本サービスへのお問い合わせ

本サービスへの
お問い合わせはこちら

Active Directory監視サービス（自社開発製品）