2020年秋から攻撃急増！「Zerologon」とはどんな攻撃？

2020年秋頃から急増している「Zerologon」とはどんな攻撃？

1. 特定のターゲットにメールでサイバー攻撃を仕掛ける
2. Windowsのドメインコントローラの管理者権限を乗っ取る
3. 大量のトラフィックを送信しターゲットのサービスを停止させる
4. Webサイトの入力フォームなどに不正な文字列を入力し、データベースを不正に操作

2.　Windowsのドメインコントローラの管理者権限を乗っ取る

「ドメインコントローラ」とは、組織のWindowsネットワークで、任意の範囲（ドメイン）におけるユーザーのIDやパスワード、アクセス権限などを一元管理するサーバーです。マイクロソフトの製品「Active Directory」の主要機能の1つであり、多くの企業や官公庁などで利用されています。

「Zerologon」とはドメインコントローラの管理者権限を乗っ取る攻撃で、厳密には脆弱性の名称です。リモートプロトコル「Netlogon」の欠陥に起因する脆弱性（CVE-2020-1472）として、2020年8月に発表されました。この脆弱性が悪用されると管理者権限が乗っ取られるため、管理下のコンピュータのID・パスワードの漏えいをはじめ、あらゆる被害が想定されます。

Zerologonによる攻撃は依然油断できない状況が続いています。例えば同年10月には米国医療機関へのランサムウェア「Ryuk」による攻撃が報告されましたが、RyukにはZerologonが利用されていました。他にも、中国関与と思わしきクラッカー集団がZerologonを悪用して、日本企業を狙った事案なども報告されています。

対策としては、一刻も早いパッチ適用が求められます。パッチは2020年8月にマイクロソフトから提供済みです。公式のガイドラインやガイダンスに従い、2部構成の段階的なロールアウトによって、脆弱性を解決すれば問題ありません。

なお、クイズの選択肢1は「標的型攻撃」、選択肢3は「DoS攻撃」（Denial of Service）、選択肢4は「SQLインジェクション」と呼ばれる攻撃です。また、DoS攻撃は単一のコンピュータによる攻撃を意味し、複数のコンピュータから分散的に行われる場合は「DDoS攻撃」（Distributed Denial of Service）となります。

Tips

Zerologon対策のパッチ適用の公式ガイドライン／ガイダンス（日本マイクロソフト株式会社のWebサイトにリンク）

• ガイドライン
• ガイダンス