内部不正の攻撃シナリオに沿った Elastic Security の活用法 | ScanNetSecurity
2026.07.15(水)

内部不正の攻撃シナリオに沿った Elastic Security の活用法

 日本電気株式会社(NEC)は10月13日、内部不正の攻撃のシナリオに沿って Elastic Securityの機能を同社セキュリティブログで解説している。NECサイバーセキュリティ戦略統括部セキュリティ技術センターの加来大輔氏が執筆している。

調査・レポート・白書・ガイドライン 調査・ホワイトペーパー
検証環境の構成図
検証環境の構成図 全 1 枚 拡大写真

 日本電気株式会社(NEC)は10月13日、内部不正の攻撃のシナリオに沿って Elastic Securityの機能を同社セキュリティブログで解説している。NECサイバーセキュリティ戦略統括部セキュリティ技術センターの加来大輔氏が執筆している。

 Elastic Security は下記の機能を備えており、Elastic Security を使用することで、組織内のマシンから収集した情報を可視化して、効率的なインシデント対応を行うことができる。

Rule:不審なイベントを特定するための検知ルール
Alert:Ruleによって不審であると判断された際に発生するアラート
Case:Alertを確認して、事案が発生したと判断した際はCaseを作成して調査を実施
Timeline:不審なイベントを時系列に並べた表

 今回の検証では、Elastic Cloud(v8.10.2)の無料Trialを活用して、図の環境を構築している。riht.comの各マシンには Elastic Agent がインストールされており、データの収集やElastic Securityからの指示の実行を行う。

 加来氏は、検証環境に対し下記の攻撃シナリオを実施している。なお、同シナリオで登場する架空の人物「佐藤さん」は、クライアント端末「WS」の正規の利用者で、佐藤さんが内部不正を実施する。

1.佐藤さんが「WS」に対してローカル管理者「WS\local_admin」の権限でログオン
2.DownloadフォルダをWindows Defenderの除外リストに追加した後、Edgeから資格情報窃取ツールMimikatz をダウンロード
3.Mimikatzで「lsadump::cache」を実行してドメイン管理者のパスワードハッシュを取得
4.佐藤さんは、取得したパスワードハッシュからドメイン管理者のパスワードの平文を取得
5.取得したドメイン管理者の平文パスワードを用いて、「WS」からADサーバ「DC」にリモートログオン

 同ブログでは、攻撃シナリオへの初動対応として、AlertからCaseを作成し、「WS」を隔離、調査として、Mimikatzがレジストリの資格情報にアクセスした痕跡、「WS」から「DC」へのアクセスを確認し、タイムラインを作成している。

《ScanNetSecurity》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 高速バスに乗ったら運転士から私的なショートメール ~ 予約データを運行管理者から不正取得

    高速バスに乗ったら運転士から私的なショートメール ~ 予約データを運行管理者から不正取得

  2. KDDI の ISP 事業者向けメールシステムへの不正アクセス、JCOM の顧客 2,593,076 名分のメールアドレスが漏えい

    KDDI の ISP 事業者向けメールシステムへの不正アクセス、JCOM の顧客 2,593,076 名分のメールアドレスが漏えい

  3. Amazon S3 設定不備 ~ 電子チェックインシステム「Tabiq」で 1,060,338 人分の本人確認書類画像がアクセス可能に

    Amazon S3 設定不備 ~ 電子チェックインシステム「Tabiq」で 1,060,338 人分の本人確認書類画像がアクセス可能に

  4. アフラック不正アクセスで日本理学療法士協会が会員情報の有無を確認

    アフラック不正アクセスで日本理学療法士協会が会員情報の有無を確認

  5. アフラック生命保険、不正アクセスのFAQ公開 CPU高負荷から発覚 原因調査中

    アフラック生命保険、不正アクセスのFAQ公開 CPU高負荷から発覚 原因調査中

ランキングをもっと見る
PageTop