関連記事：ランサムウェア 身代金を支払うとデータを取り戻せるのか？【成功率を公開！？】

 

 

AcriveDirectoryサーバーとは？

 

企業規模が100名を超えるような会社では、ActiveDirectory（以後AD）サーバーを導入する企業が多数を占めます。

ADを利用するとユーザー管理、ログイン管理、権限の制限、ハードウェアの規制、操作ログの収集といった、

PCを利用する上での様々な課題を一元管理できるなど、運用面、セキュリティ面の両方で効果を発揮します。

ただ、一方で各端末にのみ保存されていたアカウント情報やユーザーデータがすべてADサーバー上へ集約されることになりますので、

万が一ADサーバー側の管理者権限が漏洩した場合、全端末へ被害が拡がる可能性があるといったデメリットがあります。

 

 

以前はファイルサーバーがランサムウェアに狙われていた

 

2020年頃まではクライアントのPCやリモートデスクトップを踏み台として、

ネットワーク内のファイルサーバーが狙われるというのがランサムウェア攻撃の主流でした。

クライアントPCが感染した場合、そのPCからネットワーク上で共有されているファイルサーバーを暗号化するというような形です。

ですので、同じネットワーク内であっても共有されていない限りその他サーバーやPCのファイルは暗号化されないといった特徴がありました。

もちろん、その他のサーバーやPCが同じログインパスワードを使いまわしている場合や、

推測しやすいパスワードを使用している場合などは、暗号化される危険性が跳ね上がります。

ファイルサーバーは企業にとっての重要情報が保存されているケースが多く、

一方で社内のどの端末からでもアクセス可能な状態になっていることから、

ランサムウェアの攻撃者にとっては攻撃しやすく、身代金を取りやすい格好の獲物でした。

 

 

ランサムウェアの脅迫金額が年々高額化している

2017年頃、日本国内における法人へのランサムウェアの身代金要求額は～100万円程度と今に比べ遥かに少額でしたが、

2020年頃には数百万円～1,000万円程度に高額化し、

2022年、ロシアのウクライナ侵攻以降、1,000万円～数億円の要求が増えてきました。

今でも感染したのが小規模NASや1台程度のPCであれば、数万円～数10万円の要求というケースもありますが、

全体的に見たターゲットはあきらかに法人向けの全社システムや大規模サーバーへ向かっています。

 

 

ランサムウェアの侵入ルートも多角化している

 

ランサムウェアの侵入ルートもその時その時で流行り廃りがありますが、

大きく分けて４つの方法に大別されるかと思います。

 

１．フィッシングによる攻撃

フィッシングメールやフィッシングサイトによる攻撃です。

誤って添付ファイルを開く、誤ってダウンロードファイルを実行するなどによりお使いのPCがマルウェアへ感染します。

PCに侵入したマルウェアはPC内の情報を集め、ランサムウェアを呼び込みます。

定期的に被害が報告されるEmotetなども同じ目的です。

先日、試験環境を構築し、フィッシングサイトからあえてマルウェアに感染してみましたが、

ファイルダウンロード後、数分と経たずにマルウェアがインストールされ、ログイン情報とパスワードの漏洩が発生しました。

数時間後には世界中から不正アクセスが殺到、ダミーで作成したtwitterやMicrosoft、gmaiのアカウントがあっという間に乗っ取られました。

 

２．セキュリティパッチが当たっていない端末への攻撃

2017年にWannaCryというランサムウェアが世界中で流行し、

欧米などで病院のシステムが使えなくなるというニュースがありましたが、

このWannaCryもサポート切れのOSを狙った攻撃でした。

直近では昨年から大流行しているFortigateのファームウェアの脆弱性を狙った攻撃やQNAP系NASの外部接続機能の脆弱性をついた攻撃なども、

最新のファームウェアやOSが更新されていないことを狙っての攻撃です。

世の中のランサムウェア被害の8割以上はこれら脆弱性の放置が原因といえるかもしれません。

『最新の更新パッチがあたっていなくて感染したなんて自業自得だな』と思われるかもしれませんが、

社内の全機器の状況を把握することはなかなか簡単ではありません。

実際、

・PCにはセキュリティソフトが入っているが、サーバー機には入っていない。

・ルーターのファームウェアの脆弱性は気にしたことが無い。

・NASのOSは更新していない。

などの状況はＩＴ部門のワンオペや外注依存が多い中小企業には当たり前のように見られます。

 

３．総当たり攻撃（ブルートフォース攻撃）

VPNやルーターパスワードなどを総当たりで探す攻撃です。

万が一パスワードを突破されると社内のネットワークにノーチェックで侵入される危険性があります。

当社へ相談いただいたケースの中にも総当たり攻撃を受けていたケースがあり、

実際にパスワードを突破されたケースではユーザー名にadminやパスワードに1234など推測されやすいものが使われていました。

また、同じパスワードの使い回しにより被害が拡大するケースも定番です。

管理者自身、良くないことだとわかりながらも、パスワードを記憶しやすいように同じパスワードにするのだと思われます。

確かにパスワードを使い回すと運用者は楽になりますので、明確にパスワードを分けさせるような強制的な指針が必要かと思います。

 

４．ゼロデイ攻撃

まだ公開されていない脆弱性を突いた攻撃です。

公開されていない脆弱性なので事前に明確な対策方法はありません。

ゼロデイ攻撃がおこなわれる際は、世界的に一斉に攻撃されるため瞬発的に多数の被害が発生します。

ウイルス対策ソフトやUTMの多くはパターンファイルでの対策ですので、

未知の脆弱性には効果がありません。

効果的な対策としては以下のようなものが考えられます。

 

・ゼロデイ攻撃へのパターンファイル適用が速いUTMの導入

・ふるまい検知（サンドボックス)機能のついたセキュリティ対策ソフトの導入

・感染検知時にシャットダウンするEDR導入

 

などそれぞれの会社の状況に応じた対策が必要です。

 

 

ActiveDirectoryをターゲットとしたランサムウェア攻撃が増えている

 

前段でお伝えしたファイルサーバーをターゲットにした攻撃ですが、

共有されているファイルサーバーのみをターゲットとした場合、

ユーザー権限によるアクセス制限やそもそもバックアップがある場合など、

攻撃に成功しても被害が軽微に留まるケースがあります。

攻撃者側としては詐取したファイルをWeb公開すると脅し、

暗号化との二重脅迫によって成功率を高める手法をとりましたが、

更にその確率を上げ、要求額も高額にするために狙われたのがActiveDirectoryです。

ADサーバーの管理者権限では、クライアントPC、サーバー機など全社の端末へのアクセス情報が入手できます。

ADサーバーの管理者権限を奪うことにより攻撃者側はドメイン内の全端末への攻撃が可能となります。

こうなると攻撃を受けた企業のダメージは大きく、多額の身代金支払いにも応じざるを得ない状況になります。

 

 

実際にActiveDirectoryがランサムウェアに狙われたケース

 

それでは実際にADサーバーの管理者権限を奪われたケースをご紹介します。

 

【被害企業様の環境】

サービス業（社員数 300名）

サーバー台数：約20台

OS：WindowsサーバーOS

サーバー種類：AD、WSUS、AP、DB、WEBなど

 

【感染の経緯】

１．感染の直接原因

クライアントPC　1台がWeb閲覧中にフィッシングサイトへ誘導される。

フィッシングサイトによりダウンロードしたファイルを誤って実行

 

２．クライアントPCの感染

クライアントPC上、見た目は特に変わりなし。

ウイルス対策ソフトも反応せず。

ただ、実際はマルウェアが起動、PC内のパスワードなどを盗まれる。

 

３．ADサーバー（admin）への攻撃

krbtgt アカウントの脆弱性を利用したゴールデンチケット攻撃によりADサーバーの管理者権限を盗まれる。

 

４．暗号化の開始

詐取された管理者権限により各サーバーへのアクセス権限を取得

各サーバーへの暗号化を開始

各サーバーからデータを外部へアップロード

バックアップファイルの削除

ランサムウェアノート（脅迫文）の設置

痕跡の削除

 

実際にこれらの作業がおこなわれたのは休日の半日程度の時間です。

翌朝、サーバーが起動せず、慌てて調査したところランサムウェアの感染が判明しました。

起動しないサーバー機もあったため調査に時間がかかりましたが、

ほぼ全サーバーが暗号化されており、仮想サーバーについてはサーバー内の個々のファイルの暗号化に加え、

物理側のイメージファイルも暗号化されているため2重感染が発生していました。

取得していたバックアップについても暗号化または削除がなされており、

バックアップからの復元も不可能な状態です。

 

ただ、それらの状況もすぐにわかるわけではなく、全体像が把握できるまで1週間以上を要しました。

被害の状況が把握できてからも企業として取りうる選択肢は少なく、

当社へご相談頂いたのはそれからさらに1週間を経過してからでした。

 

その企業様も今では業務を再開しましたがその間に失った直接的な損失は数十億円に及びます。

間接的な損失も含めるとさらに増えるかと思いますが、

その被害がたった1台のPCのちょっとした不注意によるマルウェア感染から始まったと考えるとランサムウェアの危険性が感じられるかと思います。

 

 

ADサーバーのランサムウェア攻撃への対策

 

事例でもお伝えした通りちょっとしたきっかけでも場合によっては全社的な攻撃へと発展してしまいます。

すべての攻撃を100%防ぐことは残念ながら不可能で、企業としてリソースが限られている中、取捨選択してながら対策を立てる必要があります。

その為にはまずは重要データの棚卸が必要です。

漏洩が許されないデータ、

失ってはいけないデータ、

最悪なんとかなるデータなどデータの重要度によって対策が変わります。

 

次に機器の棚卸です。PCやサーバー、ルーター、Wi-Fi、VPNなど攻撃対象となりえる機器を棚卸します。

それらが攻撃を受けた際の影響範囲や脆弱性の有無、アクセス権限の状況などを精査します。

これらの棚卸をおこなうとなすべき対策が見えてくるかと思います。

EDRを導入するのか？

SOCを契約するのか？

バックアップ方法を変更するのか？

優先順位を念頭に検討を進めればベンダーへ提案を依頼する場合もスムーズに進むかと思います。

 

当社ではこれまで実際にランサムウェアに感染した企業様から多数のご相談を頂戴し、

一時しのぎではなく、長期的なスパンでの体制づくりをご提案してまいりました。

面倒に感じるかもしれませんがセキュリティ対策は継続こそが重要です。

現状に不安をお持ちでしたら是非とも一度、セキュリティの棚卸をおこなってみてください。

 

 

データ復旧クイックマンでは、ランサムウェアのデータ復旧、コンサルティングなどおこなっております。

緊急でのご対応も可能です。

お困りの際は下記フリーダイヤルまでご相談ください。

 

クイックマン（S&Eシステムズ株式会社） フリーダイヤル：0120-775-200