ナビゲータのEVEです。
昨日の夕方やっと、衆議院議員2026の投票用紙が自宅に届きました。
まっ、だから何だっていうことなんですが、こんなに投票用紙が来るのを気にしたのは生まれて初めてです。投票は明日ですね・・・。投票した結果は、高市総理の信任投票になりそうな雰囲気はありますが、それでもなお、自分の意見を1票に反映しましょう。
では、本日は、土曜日ということでセキュリティの日です。前の続きでアスクルのランサムウェアのセキュリティについて調べていきます。
[今まで話してきたこと]
今まで、以下の流れで攻撃されたアスクルのランサムウェア攻撃において、何が問題なのか検討をしてきました。
- ユーザIDの奪取(委託先アカウント)
- 社内ネットワークへの侵入
- 権限昇格
- EDRの無効化
- 横展開(Lateral Movement)
- 外部との通信(C2)・情報窃取
- ランサムウェア展開・暗号化(バックアップ破壊含む)
- アスクルへの恐喝開始(二重恐喝)
そのある時点とは、社内への侵入後の権限昇格です。
当初社内において権限昇格は、社内侵入後、デフォルトゲートウェイになりすまし、同一セグメントのパケットを盗聴し、暗号化されていない通信から管理者ユーザーの特定とそのパスワードを奪取するという流れを考えていました。しかし、その他にも権限昇格する方法があるということを知りました。
前回までは、以下の1番目の資格情報の保護について序の口を話したところまで終えています。
- 資格情報の保護
- OS・ソフトウェアの最新化
- 端末の暗号化(Disk / Memory)
- 権限設計とネットワーク構造
- EDR自己防御
- 横展開対策
- バックアップ分離
- 監視(SOC)
[資格権限の保護]
以上の資格情報の保護として、以下のようなことが必要です。
- LSASS 保護(Credential Guard)
- NTLM 無効化
- パスワードのハッシュを端末に残さない設定
- 管理者アカウントの分離(Tiered Admin Model)
- サービスアカウントの権限最小化
- ローカル管理者パスワードの自動ローテーション(LAPS)
以上の内容について、何をするのかわかりにくいので、まず最初にLSASS 保護(Credential Guard)について解説したところで前回は終えています。
| No | 項目 | 内容 |
| 1 | UEFI + Secure Boot | 必須 |
| 2 | VBS(仮想化ベースのセキュリティ) | 有効化 |
| 3 | Credential Guard | 有効化 |
| 4 | メモリ整合性(HVCI) | 有効化 |
| 5 | 古いドライバの排除 | 必須 |
| 6 | 管理ツール(GPO/Intune)での一括設定 | 推奨 |
本日は、振り返りで時間を使い切ってしまったので、新たな部分については、来週から調査、解説をしていきます。
[あとがき]
当ブログのセキュリティの方針として、侵入を許容するということについて、違和感を感じる方もいるかもしれません。しかし、侵入という攻撃は、基本ソーシャルエンジニアリングにより行われます。そのソーシャルエンジニアリングで行われるセキュリティ攻撃は、人間に対して行われ、状況により防げないことがあると考えるからです。企業としては、防げる可能性を少しでも上げるため、そういうところに気を遣うことができる優秀な社員が欲しいのですが、そういう採用方針は、人材の偏りとほしいスキルを逃してしまうことにつながります。そう考えたら、権限昇格というシステム的に確実に防げそうなところに焦点をあててセキュリティレベルを上げようとしています。まっ、セキュリティを実現する方法として、いろいろな方法があると思うので、参考程度に見ていただければうれしいです。
話はがらりと変わりますが、システム開発ですが、ここにきてやっと、製造の方針が決まってきたといった感じです。これから製造するものについては、その方針に基づき製造していきますが、過去に作ったものについては、EVEMST00506完成後に、1~2週間かけていっきに最新化したいと思います。それまでは、ちょっとした仕様変更を週末に行う予定です。
では、また!
コメント
コメントを投稿