特集 情シス事情を知る
【後編】ランサムウェア攻撃を未然に防ぐActive Directory監査ログ活用法
リアルな事案から学ぶ実効性の高いセキュリティ対策(Active Directory編)
- 前編
- 後編
2025年7月
はじめに
ランサムウェア攻撃の被害事例では、Microsoft Active Directory(以下、Active Directory)への侵入が数多く確認されている。攻撃者は、Active Directoryの管理者権限を窃取することで、企業内のシステムやデータに広範囲にわたるアクセス権を得ようとするからだ。
これを防ぐには、Active DirectoryやVPN機器の脆弱性対策を徹底し、侵入を許さないことに加えて、万一侵入された場合でもその侵入を早期に検知し、迅速かつ適切な対策が行える体制を整える必要がある。
今回は、ランサムウェア攻撃の被害を未然に防ぐために非常に重要な「Active Directoryの監査ログチェック」の具体的な方法について解説をする。
Active Directory監査ログ 6つのチェックポイント
Active Directoryの監査ログには、ユーザー認証、グループポリシーの変更、アカウントの作成・削除など、重要な操作履歴が記録されており、ランサムウェア攻撃の兆候を検知するための重要な情報源となる。監査ログの出力は、Windows Serverの標準機能で行えるため、Active Directoryの管理・運用に携わる担当者は、監査ログの出力手順や、特に注目すべきログを把握しておくと有事の際に役に立つだろう。以下に、ランサムウェア対策として有効なActive Directory監査ログのチェックポイントを紹介する。
チェックポイント1:アカウントログオンの失敗
アカウントログオンの失敗は、攻撃者がシステムやネットワークに侵入を試みた際の痕跡の可能性がある。一般ユーザーのログオン失敗と区別するには、該当ログの「時間帯」「ログオンタイプ」「ワークステーション名」「ソースネットワークアドレス」をチェックする必要がある。
例えば、深夜など業務時間外に発生する多数のログオン失敗は攻撃の可能性が高い。また、通常使用されないログオンタイプや、不明なワークステーション名、社外のソースネットワークアドレスからのログオン失敗の場合も攻撃の可能性が高い。こうしたログが確認された場合は直ちに追加調査を行い、ログオンが成功した形跡がないかを調査する必要がある。
チェックポイント2:特権の使用
Active Directoryの特権アカウントは、システム全体を制御できる強い権限を持つため、不正使用されるとシステムやネットワーク全体が深刻なリスクにさらされる。そのため、疑わしい特権の使用をチェックする作業は、ランサムウェア攻撃の被害を最小限に抑えるうえで極めて重要だ。
万一、特権の不正使用が確認された場合は速やかに調査を行う必要がある。迅速な調査を行うことで、不正アクセスの特定や、攻撃の初期段階での迅速な対応が可能になる。
チェックポイント3:監査ログの消去
攻撃者はシステム内に侵入した後、自身の侵入の痕跡を隠すために監査ログを消去することがある。これはランサムウェア攻撃において頻繁に見られる典型的な行動だ。
監査ログの消去は、通常の運用ではほとんど発生しないため、心当たりのない監査ログの消去がある場合は、攻撃が行われている可能性が高い。影響範囲の特定やシステムの隔離など緊急対応が必要になるため、専門家への対応依頼を検討し、被害の拡大を防ぐことが求められる。
その他のチェックポイント
特に重要なチェックポイントの3つを紹介したが、このほかにも、「アカウントのロックアウト」「アカウントの作成・削除」「タスクの作成」など、Active Directoryの監査ログには主にチェックすべき6つのポイントが存在する。有事の際には迅速な対応が求められるため、Active Directoryの管理・運用に携わる担当者は、ぜひ下記のポイントを参考にしてほしい。
Active Directoryの監査ログチェックを
継続的に行うための「ツール活用のススメ」
ランサムウェア攻撃はいつ発生するか予測できない。そのため、ランサムウェア攻撃の被害を未然に防ぐには、Active Directoryの監査ログのチェックをルーティン作業として継続的に実施することが望ましい。しかし、手動でのチェックには多くの工数がかかるため、人的リソースに余裕がない企業では継続的な運用が難しい。
そこで検討したいのが、ログの監視や分析を効率化するツールやサービスの活用だ。Active Directoryの監査ログチェックの継続実施を支援するツールやサービスには以下のようなものがある。
SIEM
SIEM(Security Information and Event Management)は、システムやネットワークのログを一元的に収集・分析し、異常を検知するツール。ログ監視・分析の自動化、効率化が期待でき、アラート通知により異常を早期に発見できる。しかし、導入・運用にかかるコストは一般的に高額であり、専任技術者が不在の場合には設定不備による誤検知や不要なアラートの発生リスクがある。
SOCサービス
SOC(Security Operation Center)サービスは24時間365日体制で企業のシステムを監視し、セキュリティインシデントを早期に検知・対応するサービス。ログ監視・分析だけでなく、脆弱性対応、運用支援、レポート作成など幅広いサービスを委託できる点がメリット。しかし、サービスを提供するセキュリティ専門チームの人的コストや、最新脅威の検知を可能にするためのインフラコストが発生するため、SIEM以上に導入・運用コストがかかる場合がある。
レポートサービス
レポートサービスは、企業のセキュリティ状況を専門家が分析し、脅威やリスクの状況を報告書等の形式でレポートするサービス。SIEMやSOCサービスと比べると、提供される機能やサービスは限定されるが、導入コストを大幅に抑えられる点がメリットだ。
ログ監視・分析にかける人的リソースがなく、また、SIEMやSOCサービスを利用する予算の確保も難しいという企業にとっては、レポートサービスの利用は有効な選択肢の一つになるだろう。
Active Directory監査ログチェックのツール・サービス比較表
おわりに
ランサムウェア攻撃の被害が深刻化する中、企業におけるセキュリティ対策の重要性はより一層高まっている。ランサムウェア攻撃の被害を未然に防ぐには、「侵入を防止する対策」と「侵入を早期に検知する対策」、二つの基本的な施策を徹底することが不可欠だ。
今回紹介したActive Directoryの監査ログチェックは、後者の「侵入を早期に検知する対策」であり、安全性をさらに高めるには、疑わしい事象が起きた時にだけチェックするのではなく、常日頃からチェックを行い、少しの異常でも早期に検知できる体制を確立することが望ましい。
監査ログチェックを効率化するツール・サービスとして、SEIM、SOCサービス、レポートサービスの3つを紹介したが、いずれの方法を採用するにしても、最も重要なのは「自社は安全である」「自社が狙われることはない」という油断を取り除き、セキュリティ対策の基本を確実に、継続的に取り組むことである。それがランサムウェア攻撃に対抗するための最大の防御策となる。
【ご案内】レポートサービスの具体例
「セキュリティリスク見える化 for Active Directory」
ここからは、レポートサービスの具体例として、NECネクサソリューションズの「セキュリティリスク見える化 for Active Directory」を紹介します。このサービスは、Active Directoryの監査ログのチェックに特化したレポートサービスで、サイバー攻撃の予兆となる挙動をいち早くレポートするものです。
「セキュリティリスク見える化 for Active Directory」には以下のような特長があり、専任のセキュリティ担当者が不在の企業でも、短期間で、コストをかけずに、ランサムウェア攻撃への対策を強化することができます。
特長1:監査ログを10項目にわたってチェックし、ランサムウェア攻撃の兆候を検知
本サービスは、アカウントログオンの失敗、特権の使用、監査ログの消去など、10項目にわたって監査ログをチェックし、サイバー攻撃の兆候を示す疑わしい挙動を漏れなくレポートします。必要な初期対応もあわせて示してくれるため、ランサムウェア攻撃の早期発見や、被害の最小化が期待できます。
特長2:手間をかけずに運用できるため、監査ログチェックを日常業務化できる
本サービスでは、専用のデータ交換サイトに監査ログのファイルをアップロードすると直ちにレポートが自動作成されます。利用にはほとんど手間がかからないため、人的リソースが少ない企業でも、監査ログのチェックを運用として定着させることができます。診断レポートは月5回まで発行できるため、監査ログのチェックを週次のルーティン作業にすることができます。
特長3:エンジニアによる技術サポート付きですぐに利用開始できる
本サービスの利用開始に必要な初期設定はお客様にて行っていただきます。ただし、技術面でご不安があるお客様には、NECネクサソリューションズのエンジニアが設定作業をサポートいたします。設定作業はActive Directoryの監査ログ出力設定などを中心に数時間で完了するため、レポートサービスをすぐに利用開始することができます。
特長4:月額3万円で導入可能 長く継続できる低コストなセキュリティ対策
本サービスは月額30,000円(税抜)で利用できます。サービスの提供範囲をActive Directoryの監査ログチェックに限定し、費用を抑えることで、セキュリティの「定期診断」として長く利用継続できることを目指しました。初期費用も不要なため、ランサムウェア攻撃の不安を感じた時に、すぐに導入できる低コストな対策となっています。