S&Jの『Active Directory監視サービス』: Operation Blotless攻撃キャンペーンを検知し、企業のセキュリティ対策を強化

S&J株式会社は、独自開発のSOCサービス『Active Directory監視サービス』が、政府機関や重要インフラ企業を標的にした攻撃キャンペーン『Operation Blotless』を検知可能であることを発表しました。

『Operation Blotless』は、脅威グループ「Volt Typhoon」による攻撃キャンペーンとして知られており、近年、その脅威が増加しています。この攻撃は、従来の攻撃と比べて、侵害痕跡が少なく、検知が非常に困難なことが特徴です。

S&Jの『Active Directory監視サービス』は、独自開発のエージェント（AD Agent）とクラウドでの独自ロジックの組み合わせにより、SIEMでは検知できない脅威を検出することができます。

同サービスは、S&Jがこれまでに対応してきたランサムウェアやAPT攻撃などのインシデントレスポンス（IR）の経験をノウハウとして検知ロジックに組み込んでおり、AD特有の脅威や重要なパッチの適用チェックも実施できます。また、DC（Domain Controller）だけでなく、ファイルサーバーや仮想基盤などのWindows Serverを監視することで、より早く脅威を検知することが可能になります。

さらに、2024年7月8日（月）には、本攻撃に特化した検知ロジックのリリースを予定しており、より安全かつ安定したビジネス環境の実現を支援いたします。

『Active Directory監視サービス』の特徴

独自開発エージェント（AD Agent）とクラウドでの独自ロジックの組み合わせにより、SIEMでは検知できない脅威を検出
ランサムウェアやAPT攻撃などのインシデントレスポンス（IR）の経験をノウハウとして検知ロジックに組み込み
AD特有の脅威（DCShadow、DCSync、Pass the Hash、Golden Ticket、BloodHoundなど）を検知
AD固有の重要なパッチ（Zerologon、SIGRed、PrintNightmareなど）の適用チェック
DC（Domain Controller）だけでなく、ファイルサーバーや仮想基盤などのWindows Serverを監視
脅威を検知することで攻撃に対する対処をいち早く実施
24時間365日体制で監視
検知した情報のみを送信するため、SIEMよりも転送するログ量が格段に少ない
不審な動作をしたアカウントは、リモートでアカウントの無効化を行う（別途オプション）
過検知をAIエイジング機能で大幅に削減

『AD Agent調査レポート』無償トライアル

S&Jは、2024年7月8日（月）～8月31日（土）の期間、『Active Directory監視サービス』のAD Agent調査レポート無償トライアルを実施いたします。本トライアルでは、S&Jが独自開発したエージェント（AD Agent）の調査レポートを使用して対策の助言を無償で実施いたします。

大量ログオン失敗やパッチの未適用、監査ログの出力設定やCPU使用率などを抽出し、お客様の環境に対して弊社コンサルタントがアドバイスをさせていただくことにより、より安全かつ安定したビジネス環境の実現を支援いたします。