Security

SolarWinds Web Help Desk悪用警告:RCEとDCSync対策

3分で読める

概要

Microsoftは、インターネット公開されたSolarWinds Web Help Deskが悪用され、未認証RCEを起点にPowerShellやBITS、正規RMMツールを使って侵入が拡大し、最終的にDCSyncやSYSTEM権限での永続化に至る実攻撃を確認したと警告しています。これは単一のWHDサーバー侵害がドメイン全体の乗っ取りにつながる現実的リスクを示しており、該当CVEへの早急なパッチ適用、公開面の縮小、そしてLoTL行動を捉える横断的な監視強化が重要です。

Securityでお困りですか?専門家に相談する

Introduction: なぜ重要なのか

インターネットに公開された業務アプリケーション(line-of-business)ツールは依然として高価値の標的であり、Microsoft は、単一の SolarWinds Web Help Desk (WHD) インスタンスの侵害が、より広範なドメイン侵害への足掛かりとなった実際の攻撃を確認している。このキャンペーンは「living-off-the-land」(LoTL) 行動、正規の管理ツールの悪用、そして低ノイズな永続化が特徴で、シグネチャベースのみの対策を回避しやすい。

What’s new / Microsoft が観測した内容

Microsoft Defender Research は、公開された WHD サーバーを起点とする多段階侵入を特定した。

  • WHD の悪用による初期侵入 (RCE): 悪用に成功すると、WHD アプリケーションのコンテキストで 未認証のリモート コード実行 が可能になった。Microsoft は使用された特定の脆弱性を確認できていないが、影響を受けたシステムは CVE-2025-40551CVE-2025-40536CVE-2025-26399 に脆弱であったと指摘している。
  • 組み込みツールを用いたペイロード配布: 侵害後、WHD サービスが PowerShell を起動し、BITS を使用してペイロードをダウンロードして実行した。
  • 制御に正規 RMM を使用: 複数のケースで、攻撃者は対話的アクセスを得るために Zoho ManageEngine (RMM) のコンポーネント(例:ToolsIQ.exe のようなアーティファクト)をインストールした。
  • 認証情報の取得と権限昇格:
    • Domain Admins を含むドメイン ユーザー/グループの列挙。
    • wab.exe が悪意のある sspicli.dll を読み込む DLL サイドローディング。これにより LSASS へのアクセスが可能になり、よりステルス性の高い認証情報窃取が行われた。
    • 少なくとも 1 件は DCSync に進展しており、高権限の認証情報取得を示唆する。
  • 永続化と回避:
    • 逆方向の SSH および RDP アクセス。
    • 特にステルス性の高い手法:起動時に SYSTEM 権限で QEMU を起動する スケジュール タスク。ホスト ポート経由で SSH をフォワードしつつ、VM 内にアクティビティを隠蔽する。

IT 管理者とエンドユーザーへの影響

  • 管理者: 公開到達可能な WHD インスタンスは、ドメイン全体の侵害につながり得る侵入口として扱うべきである。攻撃者は管理作業(PowerShell/BITS/RDP/SSH)に紛れ込むため、エンドポイント、ID、ネットワークを横断した行動ベースの監視が不可欠となる。
  • エンドユーザー: ドメイン支配が成立すると、アカウント乗っ取り、パスワード窃取、サービス妨害、さらにランサムウェアやデータ窃取リスクの拡大といった下流影響が生じ得る。

推奨アクション / 次のステップ

  1. 即時にパッチ適用と露出削減を実施
    • CVE-2025-40551CVE-2025-40536CVE-2025-26399 に対処する更新を適用する。
    • 可能な限り公開を取りやめ、管理経路を制限し、ログ(Ajax Proxy などの WHD コンポーネントを含む)を強化する。
  2. 侵害後の兆候をハンティング
    • Microsoft Defender Vulnerability Management (MDVM) を使用して、脆弱な WHD サーバーを特定する。
    • Defender XDR Advanced Hunting で、WHD から開始する不審なプロセス チェーン(例:wrapper.exe が PowerShell/BITS を起動)や、侵害が疑われる期間以降に追加された ManageEngine/RMM アーティファクトを確認する。
  3. 不正なリモート ツールを排除
    • 想定外の ManageEngine RMM コンポーネントを特定して削除し、どのように配布されたかを調査する。
  4. 封じ込めと復旧
    • 疑わしいホストを隔離し、WHD から到達可能なサービス アカウントおよび管理者アカウントを起点に 認証情報をローテーションする。
    • ID 侵害の兆候(pass-the-hash/over-pass-the-hash)と DCSync の兆候を調査する。

Microsoft は分析が進行中であるとし、防御側はアクティブな悪用が継続している前提で、インターネット公開アプリケーションの衛生管理と多層的な検知を優先すべきだとしている。

Securityでお困りですか?

私たちの専門家がMicrosoftソリューションの導入と最適化をお手伝いします。

専門家に相談する

Microsoftテクノロジーの最新情報を入手

Microsoft Defender Security Research Teamの元の記事を読む
Microsoft Defender XDRSolarWinds Web Help DeskCVEvulnerability managementincident response

関連記事

Security

Trivy サプライチェーン侵害: Microsoft Defender 対応ガイダンス

Microsoft は、2026年3月の Trivy サプライチェーン侵害について、検知、調査、緩和策のガイダンスを公開しました。このインシデントは、信頼された CI/CD セキュリティツールが通常どおり動作しているように見せかけながら、ビルドパイプライン、クラウド環境、開発者システムから認証情報を窃取するために悪用された点で重要です。

Security

AI agent governance: セキュリティのための意図整合

Microsoft は、ユーザー、開発者、ロールベース、組織の意図を整合させる AI agent 向けガバナンスモデルを提示しています。このフレームワークは、行動の境界と競合時の明確な優先順位を定義することで、企業が agent の有用性・安全性・コンプライアンスを維持するのに役立ちます。

Security

Microsoft Defender予測シールディングがGPOランサムウェアを阻止

Microsoftは、Defenderのpredictive shieldingが暗号化開始前に悪意ある Group Policy Object(GPO)の悪用を検知した、実際のランサムウェア事例を詳しく説明しました。GPOの伝播を強化し、侵害されたアカウントを遮断することで、Defenderは暗号化の試行を約97%阻止し、GPO配信経路を通じたデバイスの暗号化を防ぎました。

Security

Microsoft Agentic AI セキュリティ新機能をRSACで発表

RSAC 2026でMicrosoftは、企業向けAIのより包括的なセキュリティ戦略を発表しました。その中核となるのが、AIエージェントの統制と保護を担う新しいコントロールプレーン **Agent 365** で、5月1日に一般提供開始予定です。さらに、Defender、Entra、Purview、Intune全体でのAIリスク可視化とID保護の拡張、新たなshadow AI検出ツールも発表され、AI活用の保護が企業のセキュリティ運用の中核になりつつあることが示されました。

Security

CTI-REALMでAI検知エンジニアリングを評価する新ベンチマーク

Microsoftは、AIエージェントが脅威インテリジェンスレポートの解釈からKQLおよびSigma検知ルールの生成・改善まで、検知エンジニアリング業務をエンドツーエンドで実行できるかを検証するためのオープンソースベンチマーク「CTI-REALM」を発表しました。これは、SOC運用におけるAIの評価において、単純なサイバーセキュリティQ&Aではなく、実環境にまたがる測定可能な運用成果に焦点を当てた、より現実的な手法をセキュリティチームに提供する点で重要です。

Security

Microsoft Zero Trust for AI ワークショップとアーキテクチャ

Microsoft は Zero Trust for AI ガイダンスを導入し、Zero Trust Workshop に AI に特化した柱を追加するとともに、Assessment ツールを新しい Data と Network の柱で拡張しました。この更新は、企業が prompt injection、data poisoning、過剰なアクセスといったリスクから AI システムを保護しつつ、約 700 のコントロールを通じてセキュリティ、IT、業務チームの足並みをそろえるための体系的な方法を提供する点で重要です。