Active Directoryを狙うサイバー攻撃の王道と有効なセキュリティ対策

では、どのように攻撃は遂行されるのでしょう。一般的にサイバー攻撃は、下図のように段階を踏んで行われますが、Active Directoryが攻撃を受けるのは、侵入拡大のフェーズです。

侵入にまんまと成功したら、マルウェアを使ってクライアント端末を遠隔操作し、基盤となるバックドアを構築しながら組織内のネットワークを探索、徐々に侵入を拡大してActive Directoryを乗っ取ります。

では、そうならないためにはどうしたら良いでしょう。まず、セキュリティパッチを定期的に適用し、常に最新の状態にする対策が考えられます。次に、各種設定強度を上げることです。例えば、認証情報の設定では、過度に管理者権限を付与しない適切な権限分掌、LSA ProtectionやProtected Usersセキュリティグループを活用する、パスワード強度を上げることもひとつです。

ただ、Active Directoryは多機能で設定が多いため、これらを人の手で日々、チェックしていくのは本当に難しいことです。そこで、Active Directoryの脆弱性を可視化するツールを利用する選択肢もあります。Active Directoryの保護に特化したツールは世の中に多くない中、注目したいのが「Tenable Identity Exposure（旧：Tenable.ad）」という製品です。

Tenable Identity Exposureは、オープンソースの脆弱性検知で知名度のある「Nessus」を開発したセキュリティ対策専門ベンダーのTenable社が、エンタープライズ向けサイバー攻撃対策製品として提供している製品です。

Tenable Identity Exposureの実装は、オンプレミス版とSaaS版から選択できます。エージェント導入や特権ユーザーIDは不要で、Active Directoryへの影響も心配不要です。わかりやすい日本語GUIからの管理で、「ここが危ないですよ」を教えてくれるので、攻撃の未然防止や、攻撃を受けてしまった際の被害拡大を抑えることができます。EDR(Endpoint Detection and Response)製品では対応が難しいケース、例えば、EDRがインストールできないようなVPN装置経由での攻撃も検知できますし、DC Shadowなど、Active Directoryへの高度化された攻撃も検出ができます。Active Directoryのオブジェクトレベルの可視化やActive Directoryに対して行われた変更の把握まで可能なのです。

なお以下のように、Tenable Identity Exposure以外にも、Active Directoryを防御する有効なツールがあります。多層防御の手段として、ぜひご検討ください。

以上のように、企業の大事な中核システムとしてのActive Directoryは、セキュリティ面での運用管理も難しいため、常に攻撃者の恰好の標的となっています。攻撃者は組織内に侵入したら、脆弱性や設定不備を狙い、Active Directoryの特権IDを奪取して乗っ取るのが王道です。対策としては、定期的なパッチの適用は勿論、設定の甘さや不備の見直しと確認、Active Directoryのデフォルトの保護機能の活用が考えられますが、リソース不足などで運用面での対策が難しい場合は、ツールを利用する選択もあります。アシストでは専用の可視化ツール、
「Tenable Identity Exposure」をお奨めしています。Tenable Identity Exposureについては、下記資料を是非ご覧ください。