次の方法で共有

Microsoft インシデント応答チームのランサムウェアのアプローチとベスト プラクティス

  • [アーティクル]

人間が操作するランサムウェア は悪意のあるソフトウェアの問題ではありません。これは人間による犯罪の問題です。 商品の問題に対処するために使用されるソリューションは、次のような国家の脅威アクターによく似た脅威を防ぐには十分ではありません。

  • ファイルを暗号化する前にウイルス対策ソフトウェアを無効またはアンインストールする
  • セキュリティ サービスとログ記録を無効にして、検出を回避する
  • 身代金要求を送信する前にバックアップを見つけて破損または削除します

これらのアクションは、多くの場合、2024 年 5 月の Quick Assist などの正当なプログラムを使用して実行されます。これは、管理目的で既に環境内にある可能性があります。 犯罪の手では、これらのツールは攻撃を行うために使用されます。

ランサムウェアの脅威の増大に対応するには、最新のエンタープライズ構成、up-to-date セキュリティ製品、トレーニング済みのセキュリティ スタッフを組み合わせて、データが失われる前に脅威を検出して対応する必要があります。

Microsoft インシデント対応チーム (旧 DART/CRSP) はセキュリティ侵害に対応し、お客様がサイバー回復性を高められるように支援します。 Microsoft インシデント対応では、オンサイトの事後対応型インシデント対応とリモート プロアクティブ調査が提供されます。 Microsoft インシデント応答では、世界中のセキュリティ組織や内部の Microsoft 製品グループとの Microsoft の戦略的パートナーシップを使用して、可能な限り最も完全かつ徹底的な調査を提供します。

この記事では、Microsoft インシデント対応がランサムウェア攻撃を処理して、Microsoft のお客様が独自のセキュリティ運用プレイブックのベスト プラクティスを導く方法について説明します。 Microsoft がランサムウェアの軽減に最新の AI を使用する方法については、ランサムウェア攻撃に対する Microsoft Security Copilot 防御に関する記事を参照してください。

Microsoft インシデント応答が Microsoft セキュリティ サービスを使用するしくみ

Microsoft インシデント対応は、すべての調査にデータに大きく依存し、Microsoft Defender for Office 365、Microsoft Defender for EndpointMicrosoft Defender for Identity、Microsoft Defender for Cloud Appsなどの Microsoft セキュリティ サービスを使用します。

Microsoft インシデント対応チームの最新のセキュリティ対策の情報については、Ninja Hub を確認してください。

Microsoft Defender for Endpoint

Defender for Endpoint は、Microsoft の企業ネットワーク セキュリティ分析による高度な脅威に対する防御、検出、調査、対応を支援するように、設計されたエンタープライズ エンドポイント セキュリティ プラットフォームです。 Defender for Endpoint では、高度な行動分析と機械学習を使用して攻撃を検出できます。 アナリストは Defender for Endpoint を使用して、脅威アクターの行動分析を評価できます。

アナリストは高度なハンティング クエリを実行して、侵害のインジケーター (IOC) を特定したり、既知の脅威アクターの動作を検索したりすることもできます。

Defender for Endpoint は、継続的な疑いのあるアクター アクティビティに対して、Microsoft Defender Experts によるエキスパートの監視と分析にリアルタイムでアクセスできます。 また、必要に応じて専門家と共同作業を行い、アラートやインシデントに関するより多くの分析情報を得ることもできます。

Microsoft Defender for Identity

Defender for Identity は、侵害された既知のアカウントを調査して、組織内で侵害された可能性のある他のアカウントを特定します。 Defender for Identity は、DCSync 攻撃、リモート コード実行の試行、ハッシュパス攻撃などの既知の悪意のあるアクティビティに関するアラートを送信します。

Microsoft Defender for Cloud Apps

Defender for Cloud Apps (旧称 Microsoft Cloud App Security) を使用すると、アナリストはクラウド アプリケーション全体で異常な動作を検出し、ランサムウェア、侵害されたユーザー、または不正なアプリケーションを特定できます。 Defender for Cloud Apps は、クラウド サービスとクラウド サービスのユーザーがアクセスするデータを監視できる、Microsoft のクラウド アクセス セキュリティ ブローカー (CASB) ソリューションです。

Microsoft セキュア スコア

Microsoft Defender XDR サービスは、攻撃対象領域を減らすためのライブ修復の推奨事項を提供します。 Microsoft セキュア スコアは組織のセキュリティ体制の測定値で、数値が高いほど、より多くの改善アクションが実行されたことを示します。 セキュリティ スコア ドキュメントを読み、組織がこの機能を使用して環境の修復アクションに優先順位を付ける方法の詳細を確認します。

ランサムウェア インシデント調査を実施するための Microsoft インシデント応答のアプローチ

脅威アクターが環境にアクセスする方法を決定することは、脆弱性の特定、攻撃の軽減、将来の攻撃の防止に不可欠です。 場合によっては、脅威アクターが追跡をカバーし、証拠を破棄するための手順を実行するため、イベントのチェーン全体が明らかにならない可能性があります。

Microsoft インシデント応答のランサムウェア調査の 3 つの主要な手順を次に示します。

Step 目的 最初の質問
1. 現状を評価する スコープを理解する ランサムウェア攻撃を最初に認識した理由は何ですか?

インシデントについて最初に知った日時はいつですか?

使用可能なログは何ですか? アクターが現在システムにアクセスしていることを示していますか?
2. 影響を受ける基幹業務 (LOB) アプリを特定する システムをオンラインに戻す アプリケーションには ID が必要ですか?

アプリケーション、構成、およびデータのバックアップは使用できますか?

バックアップの内容と整合性は、復元作業を使用して定期的に検証されていますか?
3. 侵害復旧 (CR) プロセスを決定する 環境から脅威アクターを削除する 該当なし

手順 1: 現在の状況を評価する

現在の状況の評価は、インシデントの範囲を理解し、支援する最適な人員を決定し、調査と修復タスクの計画と範囲を決定するために重要です。 状況の原因と程度を判断するには、次の最初の質問を行う必要があります。

ランサムウェア攻撃をどのように特定しましたか?

IT スタッフが、削除されたバックアップ、ウイルス対策アラート、エンドポイントの検出と対応 (EDR) アラート、疑わしいシステム変更などの初期の脅威を特定した場合、攻撃を阻止するための迅速な決定措置を講じることが多くあります。 通常、これらの対策には、受信と送信のすべてのインターネット通信を無効にする必要があります。 この対策は一時的に、ランサムウェアのデプロイが成功した場合よりもはるかに影響が小さいビジネス操作に影響を与える可能性があります。

IT ヘルプデスクへのユーザーの呼び出しで脅威が特定された場合、攻撃の影響を防いだり最小限に抑えたりするための防御措置を講じるのに十分な事前警告が存在する可能性があります。 法執行機関や金融機関などの外部エンティティが脅威を特定した場合は、既に損害が発生している可能性があります。 この時点で、脅威アクターがネットワークの管理制御を持っている可能性があります。 この証拠は、ランサムウェアノートからロックされた画面、身代金要求まで多岐に分けられます。

インシデントについて最初に知った日付/時刻はいつですか?

最初のアクティビティの日付と時刻を確立することは、脅威アクター アクティビティの初期トリアージの範囲を絞り込むために重要です。 その他の質問には、次のようなものがあります。

  • その日になくなって更新プログラムは何ですか? 悪用された脆弱性を特定することが重要です。
  • その日付に使用されたアカウントはどれですか?
  • その日から作成された新しいアカウントはどれですか?

利用可能なログは何ですか? アクターが現在システムにアクセスしていることを示していますか?

ウイルス対策、EDR、仮想プライベート ネットワーク (VPN) などのログは、侵害の疑いのある証拠を示すことができます。 フォローアップの質問には、次のようなものがあります。

  • Microsoft Sentinel、Splunk、ArcSight などのセキュリティ情報イベント管理 (SIEM) ソリューションでログが集計されていますか このデータの保持期間を教えてください。
  • 侵害された可能性のあるシステムで異常なアクティビティが発生していますか?
  • 侵害された疑いのあるアカウントがアクティブな脅威アクターの制御下にあるように見えますか?
  • EDR、ファイアウォール、VPN、Web プロキシ、およびその他のログにアクティブなコマンドと制御 (C2s) の証拠はありますか?

状況を評価するには、侵害されていない Active Directory Domain Services (AD DS) ドメイン コントローラー、ドメイン コントローラーの最近のバックアップ、またはメンテナンスやアップグレードのために最近オフラインにされたドメイン コントローラーが必要になる場合があります。 また、社内のすべてのユーザーに多要素認証 (MFA) が必要であったかどうか、および Microsoft Entra ID が使用されたかどうかを判断します。

手順 2: インシデントが原因で使用できない LOB アプリを特定する

この手順は、必要な証拠を取得しながら、システムをオンラインに戻す最も迅速な方法を見極める上で重要です。

アプリケーションには ID が必要ですか?

  • 認証はどのように行われますか?
  • 証明書やシークレットなどの認証情報はどのように保存および管理されますか?

テスト済みのアプリケーション、構成、およびデータのバックアップは使用できますか?

  • バックアップの内容と整合性は、復旧演習を使用して定期的に検証されますか? このチェックは、構成管理の変更またはバージョンのアップグレード後に重要です。

手順 3: 侵害の復旧プロセスを決定する

通常は AD DS であるコントロール プレーンが侵害された場合は、この手順が必要になることがあります。

調査では、CR プロセスに直接フィードする出力を常に提供する必要があります。 CR は、環境から脅威アクター制御を削除し、設定された期間内にセキュリティ体制を戦術的に向上させるプロセスです。 CR はセキュリティ侵害後に発生します。 CR の詳細については、Microsoft Compromise Recovery Security Practice チームの CRSP: 顧客の横にあるサイバー攻撃と戦う緊急チームのブログ記事を参照してください。

手順 1 と 2 の質問に対する回答を収集したら、タスクの一覧を作成し、所有者を割り当てることができます。 インシデント対応のエンゲージメントを成功させるには、各作業項目 (所有者、状態、結果、日付、時刻など) の詳細なドキュメントを作成する必要があります。

Microsoft インシデント応答の推奨事項とベスト プラクティス

Microsoft インシデント応答の推奨事項と、封じ込めおよびインシデント後のアクティビティのベスト プラクティスを次に示します。

封じ込め

封じ込めは、含める必要がある内容を決定した後にのみ発生します。 ランサムウェアの場合、脅威アクターは、高可用性サーバーに対する管理制御の資格情報を取得し、ランサムウェアを展開することを目的としています。 脅威アクターが機密データを特定して、それを自分が管理する場所に流出させる場合もあります。

戦術的復旧は、組織の環境、業界、IT の専門知識と経験のレベルに固有です。 短期的および戦術的な封じ込めには、以下の手順をお勧めします。 長期的なガイダンスの詳細については、「特権アクセスのセキュリティを確保する」をご参照ください。 包括的にランサムウェアや恐喝から守る方法の全体像を見るには、人間が操作するランサムウェアを参照してください

新しい脅威ベクトルが検出されると、次の包含手順を実行できます。

ステップ 1: 状況の範囲を評価する

  • 侵害されたユーザー アカウントはどれですか?
  • どのデバイスが影響を受けますか?
  • どのアプリケーションが影響を受けますか?

ステップ 2: 既存のシステムを維持する

  • AD DS インフラストラクチャの整合性をリセットするために管理者が使用する少数のアカウントを除き、すべての特権ユーザー アカウントを無効にします。 ユーザー アカウントが侵害されたと思われる場合は、そのアカウントをすぐに無効にします。
  • 侵害されたシステムをネットワークから分離しますが、オフにしないでください。
  • すべてのドメインで、既知の適切なドメイン コントローラーを少なくとも 1 つ (理想的には 2 つ) 分離します。 それらをネットワークから切断するか、無効にして重要なシステムへのランサムウェアの拡散を防ぎ、最も脆弱な攻撃ベクトルとして ID を優先します。 すべてのドメイン コントローラーが仮想である場合は、仮想化プラットフォームのシステムドライブとデータ ドライブが、ネットワークに接続されていないオフラインの外部メディアにバックアップされていることを確認します。
  • SAP、構成管理データベース (CMDB)、課金システム、アカウンティング システムなど、重要な既知の適切なアプリケーション サーバーを分離します。

これらの 2 つの手順は、新しい脅威ベクトルが検出されると同時に実行できます。 ネットワークから脅威を分離するには、これらの脅威ベクトルを無効にしてから、既知の妥協のないシステムを探します。

その他の戦術的な封じ込めアクションは次のとおりです。

  • krbtgt パスワード を 2 回連続してリセットします。 スクリプト化された反復可能なプロセスの使用を検討してください。 このスクリプトを使用すると、Kerberos 認証の問題の可能性を最小限に抑えながら、krbtgt アカウントのパスワードと関連キーをリセットできます。 問題を最小限に抑えるために、krbtgt の有効期間は、最初のパスワードリセットの前に 1 回以上短縮して、これらの手順をすばやく完了できます。 環境内に保持する予定のすべてのドメイン コントローラーがオンラインである必要があります。

  • ドメイン コントローラーと特権管理専用ワークステーション (存在する場合) 以外への特権サインイン (ドメイン管理者) を防止するグループ ポリシーをドメイン全体に展開します。

  • オペレーティング システムとアプリケーションに不足しているセキュリティ アップデートをすべてインストールします。 すべての不足している更新は、ランサムウェアアクターが迅速に識別して使用できる潜在的な脅威ベクトルです。 Microsoft Defender for Endpoint の 脅威と脆弱性の管理 は、不足しているものと、不足している更新プログラムの影響を正確に確認する簡単な方法を提供します。

    • Windows 10 (またはそれ以降) のデバイスの場合は、すべてのデバイスで現在のバージョン (または n-1) が実行されていることを確認します。

    • マルウェアの感染を防ぐために、攻撃面の減少 (ASR) ルールをデプロイします。

    • すべての Windows 10 セキュリティ機能を有効にします。

  • VPN アクセスを含むすべての外部向けアプリケーションが多要素認証 (MFA) によって保護されていることを確認します。できれば、セキュリティで保護されたデバイスで実行されている認証アプリケーションを使用します。

  • プライマリ ウイルス対策ソフトウェアとして Defender for Endpoint を使用していないデバイスの場合は、ネットワークに再接続する前に、分離された既知の安全なシステムで Microsoft Safety Scanner を使用してフル スキャンを実行します。

  • レガシ オペレーティング システムの場合は、サポートされているオペレーティング システム (OS) にアップグレードするか、これらのデバイスを使用停止にします。 これらのオプションが使用できない場合は、ネットワーク/VLAN の分離、インターネット プロトコル セキュリティ (IPsec) 規則、サインイン制限など、これらのデバイスを分離するために可能なすべての手段を講じます。 これらの手順は、ビジネス継続性を提供するために、ユーザー/デバイスのみがこれらのシステムにアクセスできるようにするために役立ちます。

最もリスクの高い構成は、Windows NT 4.0 などの古いオペレーティング システム上でミッション クリティカルなシステムを実行し、アプリケーションをすべてレガシー ハードウェア上で実行する構成です。 これらのオペレーティング システムとアプリケーションは安全で脆弱であるだけでなく、そのハードウェアで障害が発生した場合、通常、最新のハードウェアでバックアップを復元することはできません。 これらのアプリケーションは、レガシ ハードウェアなしでは機能しません。 これらのアプリケーションを現在の OS とハードウェアで実行するように変換することを強くお検討してください。

インシデント後のアクティビティ

Microsoft インシデント応答では、各インシデントの後に、次のセキュリティに関する推奨事項とベスト プラクティスを実装することをお勧めします。

  • 内部ユーザーが外部コンテンツに簡単かつ安全にアクセスできるようにしながら、脅威アクターによる使用を防ぐために、電子メールおよびコラボレーション ソリューション のベスト プラクティスを確実に実施します。

  • 組織内部リソースへのリモート アクセス ソリューションについては、ゼロ トラスト セキュリティの成功事例に従ってください。

  • 重大な影響を与える管理者から始めて、パスワードレス認証 や MFA の使用など、アカウントセキュリティのベスト プラクティス 従ってください。

  • 特権アクセス侵害のリスクを軽減するためには、包括的な戦略を実装します。

  • データ保護を実装してランサムウェアの手法をブロックし、攻撃からの迅速で信頼性の高い回復を確認します。

  • クリティカルなシステムを確認します。 脅威アクターの削除または暗号化に対する保護とバックアップを確認します。 これらのバックアップを確認し、定期的にテストして検証します。

  • エンドポイント、電子メール、ID に対する一般的な攻撃を迅速に検出して修復します。

  • 環境のセキュリティ態勢を積極的に発見し、継続的に改善します。

  • 組織プロセスを更新して主要なランサムウェア イベントを管理し、アウトソーシングを合理化して摩擦を回避します。

PAM

PAM (旧称階層化管理モデル) を使用すると、Microsoft Entra ID のセキュリティ態勢が強化されます。これには次のものが含まれます。

  • "計画済み" 環境で管理アカウントを分割します。つまり、各レベル (通常は 4 つのレベル) に対して 1 つのアカウントを意味します。

  • コントロール プレーン (以前の階層 0): ドメイン コントローラーとその他の重要な ID サービス (Active Directory フェデレーション サービス (ADFS) や Microsoft Entra Connect など) の管理。 これには、Exchange Server などの AD DS への管理アクセス許可を必要とするサーバー アプリケーションも含まれます。

  • 次の 2 プレーンは以前は階層 1 でした。

    • 管理プレーン: 資産管理、監視、およびセキュリティ。

    • データ/ワークロード プレーン: アプリケーションとアプリケーション サーバー。

  • 次の 2 プレーンは以前は階層 2 でした。

    • ユーザーアクセス: ユーザー (アカウントなど) のアクセス権。

    • アプリ アクセス: アプリケーションのアクセス権。

  • これらの各プレーンには、 ごとに 個別の管理ワークステーションがあり、そのプレーン内のシステムにのみアクセスできます。 他のプレーンのアカウントは、それらのデバイスに設定されたユーザー権限の割り当てを通じて、異なるプレーン内のワークステーションとサーバーへのアクセスを拒否されます。

PAM は次のことを保証します。

  • 侵害されたユーザー アカウントは、自身のプレーンにのみアクセスできます。

  • 機密性の高いユーザー アカウントは、より低いレベルのセキュリティ レベルのワークステーションやサーバーにアクセスできません。 これは、脅威アクターの横移動を防ぐのに役立ちます。

LAPS

既定では、Microsoft Windows と AD DS には、ワークステーションとメンバー サーバー上のローカル管理アカウントの一元管理はありません。 この管理不足により、これらすべてのローカル アカウントまたは少なくともデバイス のグループに共通のパスワードが生成される可能性があります。 この状況により、脅威アクターは 1 つのローカル管理者アカウントを侵害し、組織内の他のワークステーションまたはサーバーにアクセスできます。

Microsoft の LAPS は、ポリシー セットに従ってワークステーションとサーバーのローカル管理パスワードを定期的に変更するグループ ポリシー クライアント側拡張機能を使用して、この脅威を軽減します。 これらのパスワードはそれぞれ異なり、AD DS コンピューター オブジェクトに属性として格納されます。 この属性は、その属性に割り当てられたアクセス許可に応じて、単純なクライアント アプリケーションから取得できます。

LAPS では、AD DS スキーマを拡張して、追加の属性、LAPS グループ ポリシー テンプレートのインストール、クライアント側の機能を提供するためにすべてのワークステーションとメンバー サーバーに小規模なクライアント側拡張機能をインストールできるようにする必要があります。

LAPS は、Microsoft ダウンロード センターからダウンロードできます。

その他のランサムウェア リソース

次の Microsoft リソースは、ランサムウェア攻撃を検出し、組織の資産を保護するのに役立ちます。

Microsoft 365:

Microsoft Defender XDR:

Microsoft Azure:

Microsoft Defender for Cloud Apps: