ITセキュリティ女子のブログ

  • サイバー攻撃
  • エンドポイントセキュリティ
2023.04.20

Active Directoryを狙うサイバー攻撃の王道と有効なセキュリティ対策

Active Directoryを狙うサイバー攻撃の王道と有効なセキュリティ対策

みなさんこんにちは。長谷川まりです。

ご存じのように、サイバー攻撃では多くの場合、Active Directoryが狙われています。企業の中核システムとして止められないのに、多機能で運用も複雑なActive Directoryを守るには、どうしたらよいのでしょう。今回は、最も一般的なサイバー攻撃の王道をおさらいしながら、有効な対策をご紹介します。

Active Directoryが狙われる理由

サイバー攻撃において、「数分ないし数時間で、ほとんどのサーバがマルウェアに感染してしまった」ケースの多くが、攻撃者によるActive Directoryの乗っ取りが成功してしまったものと考えられます。

攻撃者にとってActive Directoryは、スピーディな攻撃遂行のための要で、まさに宝箱。ユーザーIDやパスワードといった認証情報、Email、サーバ、アクセス権、クラウドサービスとの連携といった、企業にとってあらゆる重要な情報や設定が保管されています。しかも、長く使われる間に構成が複雑化していたり、担当変更の引き継ぎがうまく行われてなかったり、セキュリティ面での管理や対策に手が行き届いていない、といった事情を抱えていたりします。

Active Directoryへの攻撃手法

では、どのように攻撃は遂行されるのでしょう。一般的にサイバー攻撃は、下図のように段階を踏んで行われますが、Active Directoryが攻撃を受けるのは、侵入拡大のフェーズです。

侵入にまんまと成功したら、マルウェアを使ってクライアント端末を遠隔操作し、基盤となるバックドアを構築しながら組織内のネットワークを探索、徐々に侵入を拡大してActive Directoryを乗っ取ります。

ラフスケッチ:画像

乗っ取りの手法として最も有名なのは、Netlogonプロトコルの特権昇格の脆弱性(CVE-2020-1472)です。脆弱性を悪用し管理者権限を持つ特権IDを奪取するわけですが、このほかにも、設定の不備や弱さ、甘さを利用されることも。例えばパスワードポリシーで言えば、パスワードスプレー攻撃のような、特定パスワードで多数のアカウントにログインを試みる手法で特権IDが奪われるパターンも考えられます。このほか、退職者などが含まれたアクティブな休眠アカウント、過剰な管理者権限の付与、危険な信頼関係も見直す必要があります。Active Directoryが乗っ取られてしまうと全ドメインサーバにアクセスされてマルウェア感染が起こることも考えられます。

Active Directoryのセキュリティ対策

では、そうならないためにはどうしたら良いでしょう。まず、セキュリティパッチを定期的に適用し、常に最新の状態にする対策が考えられます。次に、各種設定強度を上げることです。例えば、認証情報の設定では、過度に管理者権限を付与しない適切な権限分掌、LSA ProtectionやProtected Usersセキュリティグループを活用する、パスワード強度を上げることもひとつです。

Active Directoryのセキュリティ対策の例

  • 定期的なセキュリティパッチの適用
  • 適切な権限分掌
  • LSAの保護モード活用による横断的侵入対策
  • セキュリティグループの活用
  • パスワード強度を上げる

ただ、Active Directoryは多機能で設定が多いため、これらを人の手で日々、チェックしていくのは本当に難しいことです。そこで、Active Directoryの脆弱性を可視化するツールを利用する選択肢もあります。Active Directoryの保護に特化したツールは世の中に多くない中、注目したいのが「Tenable Identity Exposure(旧:Tenable.ad)」という製品です。

Active Directoryのセキュリティ対策はツールで可能

Tenable Identity Exposureは、オープンソースの脆弱性検知で知名度のある「Nessus」を開発したセキュリティ対策専門ベンダーのTenable社が、エンタープライズ向けサイバー攻撃対策製品として提供している製品です。

Tenable Identity Exposureの実装は、オンプレミス版とSaaS版から選択できます。エージェント導入や特権ユーザーIDは不要で、Active Directoryへの影響も心配不要です。わかりやすい日本語GUIからの管理で、「ここが危ないですよ」を教えてくれるので、攻撃の未然防止や、攻撃を受けてしまった際の被害拡大を抑えることができます。EDR(Endpoint Detection and Response)製品では対応が難しいケース、例えば、EDRがインストールできないようなVPN装置経由での攻撃も検知できますし、DC Shadowなど、Active Directoryへの高度化された攻撃も検出ができます。Active Directoryのオブジェクトレベルの可視化やActive Directoryに対して行われた変更の把握まで可能なのです。

Tenable Identity ExposureによるActive Directoryの保護機能

  • 弱点となる設定不備を継続的に検知し、対処方法を管理者に通知
  • 攻撃をリアルタイムに検知し、修復方法を管理者に通知
  • Active Directoryの全ての設定変更を記録・可視化
  • 各ドメインやフォレストの信頼関係をマップで可視化し、問題のある関係性を特定

なお以下のように、Tenable Identity Exposure以外にも、Active Directoryを防御する有効なツールがあります。多層防御の手段として、ぜひご検討ください。

目的 対策 ツール
・悪用されやすい設定の発見
・Active Directory特有の攻撃を検知
Active Directoryの保護、可視化 Tenable Identity Exposure
※以下より資料をダウンロードいただけます
・特権IDの不正利用を防ぐ 特権ID管理 iDoperation
・マルウェア感染を防ぐ マルウェア対策
(EPP、EDR)
CylancePROTECT/CylanceOPTICS
・不正な特権操作を防ぐ ファイルアクセス管理 SHieldWARE
・不正な操作履歴を残す 統合ログ管理 Logstorage

Active Directoryをサイバー攻撃から守るためには まとめ

以上のように、企業の大事な中核システムとしてのActive Directoryは、セキュリティ面での運用管理も難しいため、常に攻撃者の恰好の標的となっています。攻撃者は組織内に侵入したら、脆弱性や設定不備を狙い、Active Directoryの特権IDを奪取して乗っ取るのが王道です。対策としては、定期的なパッチの適用は勿論、設定の甘さや不備の見直しと確認、Active Directoryのデフォルトの保護機能の活用が考えられますが、リソース不足などで運用面での対策が難しい場合は、ツールを利用する選択もあります。アシストでは専用の可視化ツール、
「Tenable Identity Exposure」をお奨めしています。Tenable Identity Exposureについては、下記資料を是非ご覧ください。

●Tenable Identity Exposureについて詳しく知りたい方へ、資料をダウンロードいただけます

内容

Tenable Identity Exposureの詳細な機能と、導入後のイメージがわかる資料です。

・検知の詳細項目と検知イメージ
・関係性を示すトポロジーマップ
・システム構成、システム要件
・価格
・操作画面

長谷川 まり

株式会社アシストに入社以来十数年、セキュリティ対策製品担当として活動中。

売れない小説家だった祖父の影響で、文章を書くことが好き。
「役に立つ人間になる」をモットーに、日々真面目で丁寧な仕事を心がけている。

関連している記事

  • エンドポイントセキュリティ
2022.08.26

PPAPとは?「脱PPAP」が求められる理由と代替手段の選定ポイント

業務でメールを利用する際のセキュリティ対策としてのパスワード別送「PPAP」。今回は、改めてPPAPとは何かのおさらいとリスク、代替手段についてご紹介します。

  • サイバー攻撃
2022.07.14

DX認定って何?DX認定制度と、DX推進に必要なセキュリティ対策

DX認定制度をご存じでしょうか?2020年に国内のDX推進を目的にできた制度で、希望して審査に通れば全ての企業で認定がもらえます。DXのセキュリティ対策とは何を指すのかを、整理したいと思います。

  • エンドポイントセキュリティ
  • テレワーク
2021.04.16

仮想デスクトップで使えるWVD(Windows Virtual Desktop)のメリット

テレワーク実現方法の1つ、仮想デスクトップ構築。中でもAzure上で提供されるWVD(Windows Virtual Desktop)は、Microsoftユーザーにメリットを感じやすいかもしれません。その理由を解説します。

プロフィール


長谷川まり
セキュリティ製品を担当。お客様からの信頼も厚い、お姉さん的存在。

人気記事

ページの先頭へ戻る