サイバー脅威は時間勝負!効果的なランサムウェア対応とは〜導入事例公開〜
[23/07/02]
提供元:PRTIMES
提供元:PRTIMES
近年、サイバー犯罪の被害は増加の一途をたどっており、企業や組織においてますますセキュリティ対策が重要になってきています。今回はグローバルNDRのベンダーである株式会社Quad Miners Japan(住所:東京都千代田区)が、「LockBit」によるランサムウェア被害を受けた企業に対して感染経路の特定および対応に貢献した事例について紹介いたします。
また、各業界の導入事例をまとめたホワイトペーパーも公開しましたので、併せてご覧くださいませ。
ランサムウェアとは
ランサムウェア(Ransomware)とは、感染したコンピュータをロックするほか,ファイルを暗号化したのち,複合化することと引き換えに「身代金」を要求するマルウェアの一種です。被害は企業規模・業態を問わず発生しており,その件数も増加傾向にあります。情報処理推進機構(IPA)が発表した「情報セキュリティ10大脅威(組織)」では1位にランク付けされるなど,今もっとも対策が急がれる重大脅威のひとつとなっています。
※参考:「情報セキュリティ10大脅威 2023」(独立行政法人情報処理推進機構 2023年5月31日最終更新)
https://www.ipa.go.jp/security/10threats/10threats2023.html
インシデント対応事例
ランサムウェアの攻撃は高度化・巧妙化しているため,従来型のエンドポイントセキュリティや感染後に検知・対応するEDR(Endpoint Detection and Response)では対応が難しくなっています。
では,実際にランサムウェア被害が発生した場合,どのように感染経路を特定し被害抑制などの対応をすればよいのか。それには従来の「境界防御+エンドポイントセキュリティ」だけではなく、その間にあるネットワーク全体を可視化し,潜在的な脅威をいち早く見つけ出す必要があります。
今回は弊社のNDR製品「Network Blackbox」でのランサムウェア対応事例について紹介します。
<導入背景>
1. ランサムウェア感染(一時感染)発生
2. 第三者機関の協力のもと、エンドポイントから感染経路の特定を進めていたが、分析に多くの時間を費やしていた。
3. 「ネットワークの包括的な分析」を行うため、弊社NDR製品「Network Blackbox」を導入
4. ランサムウェア感染(二次感染)の発生
<「Network Blackbox」での対応>
1.外部のIPアドレスから内部ネットワークへの大量のスキャンを検知
2.内部スキャンをしている外部IPアドレスとADサーバとのRDPセッションを検知
→リモートで内部のIPアドレスに対してランサムウェアを拡散していることが判明。
3.外部IPアドレスの遮断。サーバをシャットダウン。
※検知画面の一部
[画像1: https://prtimes.jp/i/120788/4/resize/d120788-4-952a567e37a2f4e4835b-6.png ]
↑VPNGWから内部ネットワークにスキャンをかけている様子
[画像2: https://prtimes.jp/i/120788/4/resize/d120788-4-e945c0af65d249a12966-7.png ]
↑ADサーバ間でのRDPセッションをキャプチャした様子
[画像3: https://prtimes.jp/i/120788/4/resize/d120788-4-f22a9ac6cb6999fe1814-8.png ]
↑疑わしいIPアドレスから内部ネットワークにスキャンをかけている様子
[画像4: https://prtimes.jp/i/120788/4/resize/d120788-4-8d89bfaa8d4cd0accd60-9.png ]
↑疑わしいIPアドレスからランサムウェアを拡散している様子
<効果>
・平均故障間隔(MTTF/MTBF)および平均修復時間(MTTR)の短縮
→リアルタイムでの脅威検知による、迅速なインシデントレスポンスを実現
・ランサムウェア二次感染の翌日に感染経路を特定
→ネットワーク全体を可視化し、証拠資料に基づき疑わしいIPアドレスを遮断
<感染経路>
分析の結果、今回の感染経路は下記であったと考えられます。
[画像5: https://prtimes.jp/i/120788/4/resize/d120788-4-d0c9300a1a7e0cc7fa59-5.png ]
1.攻撃者はVPNを通じてネットワーク内部にネットワーク
スキャンを実施
2.ブルートフォースアタックののちADサーバとのRDP
セッションを開始
3.SMBを通じてドメイン配下へランサムウェアを拡散
4.サーバ上のファイルが暗号化され、プリンターからは
脅迫文が大量に印刷
■「Network Blackbox」とは
ゼロトラストアークテクチャを完成へと導く株式会社Quad MinersのNDRソリューションです。ネットワーク上の全トラフィックを100%フルパケットキャプチャし、リアルタイムで分析できます。また、AI(教師あり形式)の検知エンジンを搭載しており、既知・未知のどちらの脅威にも対応できる次世代のセキュリティソリューションです。
■6月より下記6業界の導入事例をまとめたホワイトペーパーを公開
会社や組織のセキュリティに課題を抱えている、セキュリティの強化を検討されているといった経営者様やご担当者様に参考となる資料となっております。是非ご活用ください。
・Eコマース ・セキュリティ ・エネルギー
・金融機関 ・軍事組織 ・政府機関
▼ダウンロードはこちら(以下リンクのより、無料でダウンロードできます)
https://www.quadminers.co.jp/network_blackbox.html
■無料のセキュリティ診断実施中⇒https://drive.google.com/file/d/1XNGujGXanjaanqv_TWFIBnnHBR7zbxsQ/view?usp=sharing
■株式会社Quad Miners Japanについて <https://www.quadminers.co.jp/>「全世界の安心・安全なデジタルビジネスの環境構築に貢献する」という理念の下、サイバー攻撃の脅威が急激に拡大している日本においてもより高度なセキュリティ対策を提供するため、日本法人の立ち上げと製品展開を開始しました。現在、グローバルで70社以上の導入実績を持ち、2020年〜2023年に4年連続で、GartnerレポートにてNDR(Network Detection &Response)製品のグローバル代表的なベンダー企業として認定されております。今後もより安全で信頼できるネットワーク環境構築を推進していきます。
【本件に関するお問い合わせ先】
株式会社クワッドマイナージャパン(英文名:Quad Miners Japan Co.,Ltd)
住所:東京都千代田区霞が関3-2-5 霞が関ビル5階
TEL:03-3500-3221
Mail:sales_jp@quadminers.com
また、各業界の導入事例をまとめたホワイトペーパーも公開しましたので、併せてご覧くださいませ。
ランサムウェアとは
ランサムウェア(Ransomware)とは、感染したコンピュータをロックするほか,ファイルを暗号化したのち,複合化することと引き換えに「身代金」を要求するマルウェアの一種です。被害は企業規模・業態を問わず発生しており,その件数も増加傾向にあります。情報処理推進機構(IPA)が発表した「情報セキュリティ10大脅威(組織)」では1位にランク付けされるなど,今もっとも対策が急がれる重大脅威のひとつとなっています。
※参考:「情報セキュリティ10大脅威 2023」(独立行政法人情報処理推進機構 2023年5月31日最終更新)
https://www.ipa.go.jp/security/10threats/10threats2023.html
インシデント対応事例
ランサムウェアの攻撃は高度化・巧妙化しているため,従来型のエンドポイントセキュリティや感染後に検知・対応するEDR(Endpoint Detection and Response)では対応が難しくなっています。
では,実際にランサムウェア被害が発生した場合,どのように感染経路を特定し被害抑制などの対応をすればよいのか。それには従来の「境界防御+エンドポイントセキュリティ」だけではなく、その間にあるネットワーク全体を可視化し,潜在的な脅威をいち早く見つけ出す必要があります。
今回は弊社のNDR製品「Network Blackbox」でのランサムウェア対応事例について紹介します。
<導入背景>
1. ランサムウェア感染(一時感染)発生
2. 第三者機関の協力のもと、エンドポイントから感染経路の特定を進めていたが、分析に多くの時間を費やしていた。
3. 「ネットワークの包括的な分析」を行うため、弊社NDR製品「Network Blackbox」を導入
4. ランサムウェア感染(二次感染)の発生
<「Network Blackbox」での対応>
1.外部のIPアドレスから内部ネットワークへの大量のスキャンを検知
2.内部スキャンをしている外部IPアドレスとADサーバとのRDPセッションを検知
→リモートで内部のIPアドレスに対してランサムウェアを拡散していることが判明。
3.外部IPアドレスの遮断。サーバをシャットダウン。
※検知画面の一部
[画像1: https://prtimes.jp/i/120788/4/resize/d120788-4-952a567e37a2f4e4835b-6.png ]
↑VPNGWから内部ネットワークにスキャンをかけている様子
[画像2: https://prtimes.jp/i/120788/4/resize/d120788-4-e945c0af65d249a12966-7.png ]
↑ADサーバ間でのRDPセッションをキャプチャした様子
[画像3: https://prtimes.jp/i/120788/4/resize/d120788-4-f22a9ac6cb6999fe1814-8.png ]
↑疑わしいIPアドレスから内部ネットワークにスキャンをかけている様子
[画像4: https://prtimes.jp/i/120788/4/resize/d120788-4-8d89bfaa8d4cd0accd60-9.png ]
↑疑わしいIPアドレスからランサムウェアを拡散している様子
<効果>
・平均故障間隔(MTTF/MTBF)および平均修復時間(MTTR)の短縮
→リアルタイムでの脅威検知による、迅速なインシデントレスポンスを実現
・ランサムウェア二次感染の翌日に感染経路を特定
→ネットワーク全体を可視化し、証拠資料に基づき疑わしいIPアドレスを遮断
<感染経路>
分析の結果、今回の感染経路は下記であったと考えられます。
[画像5: https://prtimes.jp/i/120788/4/resize/d120788-4-d0c9300a1a7e0cc7fa59-5.png ]
1.攻撃者はVPNを通じてネットワーク内部にネットワーク
スキャンを実施
2.ブルートフォースアタックののちADサーバとのRDP
セッションを開始
3.SMBを通じてドメイン配下へランサムウェアを拡散
4.サーバ上のファイルが暗号化され、プリンターからは
脅迫文が大量に印刷
■「Network Blackbox」とは
ゼロトラストアークテクチャを完成へと導く株式会社Quad MinersのNDRソリューションです。ネットワーク上の全トラフィックを100%フルパケットキャプチャし、リアルタイムで分析できます。また、AI(教師あり形式)の検知エンジンを搭載しており、既知・未知のどちらの脅威にも対応できる次世代のセキュリティソリューションです。
■6月より下記6業界の導入事例をまとめたホワイトペーパーを公開
会社や組織のセキュリティに課題を抱えている、セキュリティの強化を検討されているといった経営者様やご担当者様に参考となる資料となっております。是非ご活用ください。
・Eコマース ・セキュリティ ・エネルギー
・金融機関 ・軍事組織 ・政府機関
▼ダウンロードはこちら(以下リンクのより、無料でダウンロードできます)
https://www.quadminers.co.jp/network_blackbox.html
■無料のセキュリティ診断実施中⇒https://drive.google.com/file/d/1XNGujGXanjaanqv_TWFIBnnHBR7zbxsQ/view?usp=sharing
■株式会社Quad Miners Japanについて <https://www.quadminers.co.jp/>「全世界の安心・安全なデジタルビジネスの環境構築に貢献する」という理念の下、サイバー攻撃の脅威が急激に拡大している日本においてもより高度なセキュリティ対策を提供するため、日本法人の立ち上げと製品展開を開始しました。現在、グローバルで70社以上の導入実績を持ち、2020年〜2023年に4年連続で、GartnerレポートにてNDR(Network Detection &Response)製品のグローバル代表的なベンダー企業として認定されております。今後もより安全で信頼できるネットワーク環境構築を推進していきます。
【本件に関するお問い合わせ先】
株式会社クワッドマイナージャパン(英文名:Quad Miners Japan Co.,Ltd)
住所:東京都千代田区霞が関3-2-5 霞が関ビル5階
TEL:03-3500-3221
Mail:sales_jp@quadminers.com