Microsoft Defender予測シールディングがGPOランサムウェアを阻止

Introduction

Microsoftの最新のDefender事例調査は、増加するランサムウェアの手口を浮き彫りにしています。それは、Group Policy Object（GPO）を悪用してセキュリティツールを無効化し、大規模にペイロードを配布する方法です。IT部門およびセキュリティチームにとって重要なのは、GPOがほとんどのWindows環境で信頼された管理メカニズムであるため、人手で操作されるランサムウェアにとって魅力的な攻撃経路になっている点です。

What happened

Microsoftは、数千台のデバイス、33台のサーバー、11台のドメイン コントローラー、そして2台の Entra Connect サーバーを持つ大規模な教育機関に対する攻撃を調査しました。攻撃者はすでにDomain Adminアクセスを取得しており、いくつかの典型的な段階を経て移動していました。

• Reconnaissance: Active Directoryの列挙とブルートフォース活動
• Credential access: KerberoastingとNTDSダンプ活動
• Lateral movement: 高権限資格情報の使用と永続化のためのローカル アカウント作成
• Impact attempt: GPOベースの改ざんとランサムウェア展開

How the GPO attack worked

攻撃者はGPOを2段階で使用しました。

• Stage 1: Security tampering
  悪意のあるGPOが、リアルタイム保護や動作監視を含むDefenderの主要な保護機能を無効化しようとしました。

• Stage 2: Ransomware distribution
  約10分後、攻撃者は別のGPOを作成し、SYSVOLからランサムウェア ファイルをコピーして実行するスケジュール タスクを展開しました。

これは、攻撃者がポリシーを一度設定するだけで、ドメイン参加済みデバイスが残りを自動的に実行するため、非常に効果的です。

How Defender stopped it

Defenderのpredictive shieldingは、GPOの改ざんをランサムウェアの前兆である可能性が高いと認識し、ランサムウェア用GPOが広範囲に拡散する前にGPO hardeningを発動しました。

この事例調査における主な結果は次のとおりです。

• GPO経路を通じて暗号化されたデバイスはゼロ
• 全体として暗号化の試行を約97%阻止
• 700台のデバイスがGPO hardening保護を受信
• 12件を超える侵害エンティティを遮断
• 攻撃者による数千件の認証およびアクセス試行をブロック

Why this matters for admins

このインシデントは、ランサムウェア攻撃者が明白なマルウェア配布手法だけに依存するのではなく、標準的なIT管理ツールをますます悪用していることを示しています。GPO、スケジュール タスク、SMB、リモート管理ツールはいずれも正当な運用メカニズムであり、高度な検知と対応がなければ不正利用を見抜くのが困難になります。

管理者にとっての教訓は明確です。ID侵害とGPO悪用が組み合わさると、短時間で組織全体に及ぶインシデントへ発展する可能性があります。

Recommended next steps

• 特権アカウントの露出を見直す。特にDomain Adminの使用状況を重点的に確認する
• 最近のGPO変更とスケジュール タスクの展開を監査する
• Kerberoasting、NTDSアクセス、異常なSMBベース実行の兆候を調査する
• Microsoft Defenderのattack disruption機能が有効になっていることを確認する
• Defenderのtamper protectionと、すべてのドメイン参加済みデバイスにおけるエンドポイント保護範囲を検証する
• SYSVOL内の予期しないスクリプト、実行ファイル、DLLを監視する

Microsoft Defenderを利用している組織は、この事例を、ID保護の強化、管理ツールの監視、そしてネイティブなエンタープライズ制御を悪用するランサムウェア攻撃への備えを再確認する機会として捉えるべきです。