セキュリティの
学び場

今回の解説ニュース

世界中で発生したインシデントやランサムウェアの傾向について、レポートが公開されています。ランサムウェア攻撃の内容と、攻撃者がもっとも狙うシステムのひとつであるActive Directoryのセキュリティで気を付けるべきポイントについて説明します。

今回のレポートは、2023年上半期に発生した80件の事例から得られたデータを基に、インシデント対応チームが世界各地のセキュリティインシデントへの対応を通じて学んだ、現在の攻撃者の状況について紹介しているものです。同期間の事例を分析したところ、攻撃者が攻撃を開始してから検出されるまでの滞留時間の中央値が、全攻撃で10日から8日に短縮され、ランサムウェア攻撃単体では5日に短縮されたことが判明したということです。

ペイロードとは？

ペイロードは様々なIT分野で使われますが、ランサムウェアの場合は、実行する攻撃の内容を指します。例えば、みなさんがご自宅でご飯を作る際に、どのような手順で進めますか？

ランサムウェアのペイロードは、ご飯で言うと調理に当たり、目的を達成するための最終段階を指す場合があります。ランサムウェアも、まずターゲットになるシステムをインターネットで探して、そのシステムへ侵入をしてから、ペイロードに当たる、実際にデータを暗号化するなどの攻撃を行います。

その他にも、ペイロードは正味のデータを示すことがあり、インターネットの通信でも、サーバと接続するための情報を除いた、送受信するデータを示す場合があります。

Active Directoryがなぜ狙われる？

Active Directoryとは、マイクロソフト製品で構築されたシステムで、とても重要な役割を果たすシステムです。

まず、Active Directoryは、組織のユーザやコンピュータなどの情報を一元管理します。ユーザ情報には、IDやパスワードはもちろんのこと、ファイルサーバや社内システムへアクセスするための認証も行います。その、Active Directoryの中心となるサーバをドメインコントローラーと言います。

100台のパソコンがActive Directoryで管理されている場合、1台のドメインコントローラーを攻撃者が乗っ取るだけで、管理されている100台のパソコンへ侵入することができてしまいます。それだけでなく、Active Directoryで管理されているユーザがアクセスできるシステムまで、攻撃者が侵入できてしまうことになります。

攻撃者にとって、Active Directoryがいかにコストパフォーマンスのよい攻撃対象になるかについて、お判りいただけたのではないでしょうか。