C
月内に
Kasperskyのレポートは、攻撃者がローカル管理者のアカウントを侵害し、MimikatzやPass-the-Hashなどの手法を用いて権限昇格を行い…
📌 一言でいうと
Kasperskyのレポートは、攻撃者がローカル管理者のアカウントを侵害し、MimikatzやPass-the-Hashなどの手法を用いて権限昇格を行い、最終的にランサムウェアを配布した事例を紹介しています。攻撃者はSMTPサーバーへのアクセスから侵入し、脆弱なドライバーを利用して特権を奪取しました。多くの企業が検知可能な「悪意ある動作」のみを監視しているため、正規ツールを悪用した攻撃を防げていない現状を警告しています。
🔍該当判定
- 自社でSMTPサーバー(メール送信サーバー)を構築・運用している
- Windows端末で「ローカル管理者権限(Administrator)」を持つユーザーが複数存在する
- 社内ネットワーク内で、特権アカウントのパスワードを平文や単純な形式で管理している
上記いずれにも該当しない → 静観でOK
✅該当時の対応
特権アカウントの管理強化(PAMの導入)、多要素認証(MFA)の徹底、不必要な管理権限の削減、および正規ツール(Mimikatz等)の実行を検知・遮断するEDRの最適化。