近年、サイバー犯罪の被害は増加の一途をたどっており、企業や組織においてますますセキュリティ対策が重要になってきています。今回はグローバルNDRのベンダーである株式会社Quad Miners Japan（住所：東京都千代田区）が、「LockBit」によるランサムウェア被害を受けた企業に対して感染経路の特定および対応に貢献した事例について紹介いたします。
また、各業界の導入事例をまとめたホワイトペーパーも公開しましたので、併せてご覧くださいませ。

• ランサムウェアとは

ランサムウェア（Ransomware）とは、感染したコンピュータをロックするほか，ファイルを暗号化したのち，複合化することと引き換えに「身代金」を要求するマルウェアの一種です。被害は企業規模・業態を問わず発生しており，その件数も増加傾向にあります。情報処理推進機構（IPA）が発表した「情報セキュリティ10大脅威（組織）」では1位にランク付けされるなど，今もっとも対策が急がれる重大脅威のひとつとなっています。

※参考：「情報セキュリティ10大脅威 2023」（独立行政法人情報処理推進機構 2023年５月31日最終更新）
https://www.ipa.go.jp/security/10threats/10threats2023.html

• インシデント対応事例

ランサムウェアの攻撃は高度化・巧妙化しているため，従来型のエンドポイントセキュリティや感染後に検知・対応するEDR（Endpoint Detection and Response）では対応が難しくなっています。
では，実際にランサムウェア被害が発生した場合，どのように感染経路を特定し被害抑制などの対応をすればよいのか。それには従来の「境界防御+エンドポイントセキュリティ」だけではなく、その間にあるネットワーク全体を可視化し，潜在的な脅威をいち早く見つけ出す必要があります。
今回は弊社のＮＤＲ製品「Network Blackbox」でのランサムウェア対応事例について紹介します。

＜導入背景＞
１． ランサムウェア感染（一時感染）発生
２． 第三者機関の協力のもと、エンドポイントから感染経路の特定を進めていたが、分析に多くの時間を費やしていた。
３． 「ネットワークの包括的な分析」を行うため、弊社NDR製品「Network Blackbox」を導入
４． ランサムウェア感染（二次感染）の発生

＜「Network Blackbox」での対応＞
１．外部のIPアドレスから内部ネットワークへの大量のスキャンを検知
２．内部スキャンをしている外部IPアドレスとADサーバとのRDPセッションを検知
→リモートで内部のIPアドレスに対してランサムウェアを拡散していることが判明。
３．外部IPアドレスの遮断。サーバをシャットダウン。
※検知画面の一部

↑VPNGWから内部ネットワークにスキャンをかけている様子

↑ADサーバ間でのRDPセッションをキャプチャした様子

↑疑わしいIPアドレスから内部ネットワークにスキャンをかけている様子

↑疑わしいIPアドレスからランサムウェアを拡散している様子

＜効果＞

・平均故障間隔（MTTF/MTBF）および平均修復時間（MTTR）の短縮
→リアルタイムでの脅威検知による、迅速なインシデントレスポンスを実現
・ランサムウェア二次感染の翌日に感染経路を特定
→ネットワーク全体を可視化し、証拠資料に基づき疑わしいＩＰアドレスを遮断

＜感染経路＞
分析の結果、今回の感染経路は下記であったと考えられます。

1.攻撃者はVPNを通じてネットワーク内部にネットワーク
スキャンを実施

２.ブルートフォースアタックののちADサーバとのRDP
セッションを開始

３．SMBを通じてドメイン配下へランサムウェアを拡散

４．サーバ上のファイルが暗号化され、プリンターからは
脅迫文が大量に印刷




■「Network Blackbox」とは
ゼロトラストアークテクチャを完成へと導く株式会社Quad MinersのNDRソリューションです。ネットワーク上の全トラフィックを１００％フルパケットキャプチャし、リアルタイムで分析できます。また、AI（教師あり形式）の検知エンジンを搭載しており、既知・未知のどちらの脅威にも対応できる次世代のセキュリティソリューションです。

■６月より下記６業界の導入事例をまとめたホワイトペーパーを公開
会社や組織のセキュリティに課題を抱えている、セキュリティの強化を検討されているといった経営者様やご担当者様に参考となる資料となっております。是非ご活用ください。

・Eコマース　　　　・セキュリティ　　　・エネルギー

・金融機関　　　　　・軍事組織　　　　　・政府機関

▼ダウンロードはこちら（以下リンクのより、無料でダウンロードできます）
https://www.quadminers.co.jp/network_blackbox.html

■無料のセキュリティ診断実施中⇒https://drive.google.com/file/d/1XNGujGXanjaanqv_TWFIBnnHBR7zbxsQ/view?usp=sharing

■株式会社Quad Miners Japanについて　＜https://www.quadminers.co.jp/＞「全世界の安心・安全なデジタルビジネスの環境構築に貢献する」という理念の下、サイバー攻撃の脅威が急激に拡大している日本においてもより高度なセキュリティ対策を提供するため、日本法人の立ち上げと製品展開を開始しました。現在、グローバルで70社以上の導入実績を持ち、2020年～2023年に4年連続で、GartnerレポートにてNDR（Network Detection ＆Response）製品のグローバル代表的なベンダー企業として認定されております。今後もより安全で信頼できるネットワーク環境構築を推進していきます。

【本件に関するお問い合わせ先】
株式会社クワッドマイナージャパン（英文名:Quad Miners Japan Co.,Ltd）
住所：東京都千代田区霞が関３-２-５　霞が関ビル５階
TEL：03-3500-3221
Mail：sales_jp@quadminers.com

配信元企業：株式会社Quad Miners Japan

企業プレスリリース詳細へ

PR TIMESトップへ