ラックは2月24日、オンラインでセミナーを開いた。ランサムウェアグループによる攻撃が国内でも深刻な被害をもたらすなか、WindowsとActive Directory(AD)のハードニングやマイクロセグメンテーションを取り上げた。攻撃の横移動を抑える選択肢を整理することで、企業の対策検討の負荷に影響しうる。
セミナーはラックが主催し、アカマイ・テクノロジーズが共催した。対策の具体解として「AD要塞化+マイクロセグメンテーション」を掲げ、侵入後の横移動(ラテラルムーブメント)を止める観点を前面に置いた。基調講演ではpiyokango氏が、インシデント公表情報の拡充が対策強化に有効との見方を示し、「侵入への防御一辺倒ではなく、攻撃者の目的遂行阻止を含め“延焼”を防ぐ対策」の検討と実施がポイントになると述べた。
2025年公表1115例
piyokango氏によると、2025年に被害公表された国内のインシデント総数は1115例で、ランサムウェアや不正アクセスなど外的要因に起因する事例を集計した。このうち業務委託先などで発生したものが波及した事例は547例を含む。原因の内訳では、認証認可の不正利用が98例、脆弱性悪用が61例だった一方、「記載なし」が338例あった。
同氏は、詳細が公表された事例の割合が2024年の61%から2025年に41%へ下がったと述べた。公表情報の乏しさにより、侵入手口は分かっても、管理者特権の取得や横移動の方法、導入済み対策が有効に機能しなかった理由など、被害が深刻化した原因の把握が難しくなっているとの指摘も示した。公表を「起きてから」考えるのではなく、常に事前の備えをし、公表に関するテンプレートを用意しておく必要性にも触れた。
セッション1では、ラック コンサルティング統括部 コンサルティングサービス二部 担当部長の初田淳一氏が登壇した。2021年〜2025年の国内ランサムウェア被害状況を示し、2025年の事案の多くがWindowsおよびAD環境で起きていたことに言及した。攻撃者が初期侵入後に用いる横移動の例として、ソフトウェアの脆弱性悪用、平易なパスワードや窃取されたパスワードの悪用、VPNに設定されたAD連携用アカウントの悪用を挙げた。
初田氏は代表的な横移動手法として「Pass the Hash攻撃」を取り上げ、Windows・ADでのアカウント管理とセキュリティ設定強化により、横移動に制限を与えうるとの見方を示した。加えて、Windows設定の公開資料としてGoogleの「Ransomware Protection and Containment Strategies」、AD監査ツールとしてPing CastleとSemperisの「Purple Knight」を紹介した。ラックの「Windows・AD要塞化分析サービス」では、ランサムウェア攻撃・標的型攻撃への対策に特化する点や、対策に優先順位を付けて報告する点、200ページを超える設定ガイドを提供する点を挙げた。
アカマイがAGS提示
セッション2では、アカマイ・テクノロジーズ セキュリティ製品事業部 シニアセキュリティスペシャリストの山下洋氏が「Akamai Guardicore Segmentation(AGS)」を紹介した。山下氏は、従来のマルウェア配布による攻撃から、OS標準ツールを悪用する「LoTL型(Living off the Land型、環境寄生型)」へ変化しているとの認識を示した。ランサムウェア攻撃では、配布前の段階でADの管理者権限が奪取されているという説明もあった。
山下氏は、防御設計を検知型中心の従来型から、アタックサーフェス(攻撃対象領域)の最小化へ切り替える必要があるとの考えを述べた。その対応として、マイクロセグメンテーションを採り入れ、攻撃者が行いたい通信や操作を成立しにくくする方向性を示した。AGSは、保護したいサーバやPCにインストールし、管理サーバ経由で制御する構成を取り、L3/L4に加えてL7(プロセス単位)の可視化と制御を扱うと説明した。
あわせて山下氏は「Crown Jewel」を起点にマイクロセグメンテーションの取り組みを始める考え方を述べた。Crown Jewelは「企業のビジネスモデルを成立させている中核システムもしくは機密データ」を指し、EC事業者ではECサイトや決済基盤、顧客情報、製造業では設計データやPLM、開発環境、生産設備の制御システムなどを例示した。取り組みは、保護すべきアセットの定義、Agentのインストール、通信要件の整理を経て通信制御を行う流れだとした。
今回のセミナーでは、インシデント公表情報の不足が原因把握の難しさにつながるとの指摘とあわせ、Windows・ADのハードニングやマイクロセグメンテーションの論点が並んだ。運用面では、AD監査ツールのレポートを精査するリソースの有無や、Agentのインストールと通信要件整理をどこまで進めるかが論点になりうる。ラックは主催セミナーで「AD要塞化+マイクロセグメンテーション」を提唱し、横移動に焦点を当てた。