Active Directory(AD)は、アイデンティティ中心の攻撃を仕掛ける攻撃者にとって主要な標的となっています。幸いなことに、エンタープライズのセキュリティチームがActive Directoryインスタンスの可視性を高め、発見された脆弱性に対処するためのツールがいくつか利用可能です。
アナリストによく利用されているツールの一つがAttack Pathグラフであり、標準ユーザーから特権アカウント(例えば重要なDomain Admin)まで攻撃者が権限昇格する可能性のある経路を可視化することができます。
このような可視化は有用ですが、脆弱性を解消しベストプラクティスを推奨するActive Directoryアセスメントツールの代替にはなりません。その違いを示すために、本記事ではエンタープライズでよく見られる2つの代表的なシナリオを例に、両アプローチを比較します。
ケーススタディ:基本的な権限昇格
最初のシナリオでは、単純なAttack Pathを取り上げ、同じ問題に対するADセキュリティアセスメントの結果と比較します。
最初の例では、侵害された標準ユーザー「Bob」が、より大きなEngineeringグループのメンバーであり、このグループはCAD Toolsグループのサブセットです。不適切な設定と権限分離の欠如により、このグループはService Installersグループのメンバーでもあり、さらにこのグループがDomain Adminsグループのメンバーとなっています。
明らかに、Bobは本来標準ユーザー権限しか持たないはずですが、このようなネストされた関係により、Bobのアカウントが侵害されると攻撃者はDomain Admin権限を取得できてしまいます。
ここで、ADセキュリティアセスメントツールがこのような状況でどのようなコンテキストを提供できるか、また管理者がこの情報をどのように活用して問題を緩和し再発防止できるかを見ていきます。
ADセキュリティアセスメントツールが提供するもの:
- 特権アクセスを持つすべてのユーザーの一覧。これは、すべての特権グループのネストされたグループの全メンバーを含みます。
- 特権グループ内にネストされている削除すべきグループの一覧。これは、管理者が問題を緩和するために必要なショートカットです。
- 特権グループへのグループのネストを避けるというベストプラクティス。これにより、意図しない特権アクセスが付与されることを防ぎやすくなります。これは、管理者が問題を未然に防ぐためのガイダンスです。
2番目と3番目の項目が特に重要です。Service Installersグループ(および他にネストされているグループ)をDomain Adminsグループから削除すれば、侵害された標準ユーザーアカウントはもはやDomain Adminではなくなります。脆弱性に対処しベストプラクティスを遵守することで、管理者はグラフを見てグループメンバーシップの剪定箇所を特定する必要がなくなり、グラフ自体が不要となります。
ケーススタディ:認証情報のクラック
もう一つの単純なAttack Pathを見てみましょう。
上記のAttack Pathでは、ユーザーのコンピュータ(COMPUTER 1)が侵害されています。そこから攻撃者はローカル管理者アカウントの認証情報をクラックし、そのパスワードを使って別のコンピュータ(COMPUTER 2)にログインします。これは管理の容易さのために同じ認証情報が設定されていたためです。COMPUTER2上で攻撃者はDomain Adminアカウントのハッシュをクラックし、権限を昇格させます。
Active Directoryセキュリティアセスメントツールは、以下の情報をアナリストに提供することで、このリスクを迅速に緩和できます:
- LAPS(Local Administrator Password Solution)がActive Directoryで構成されていないことを検出。もし構成されていれば、攻撃者が同じローカル管理者パスワードを使ってCOMPUTER1からCOMPUTER2へ移動することを防げたはずです。すべてのローカル管理者アカウントに異なるローテーションパスワードを設定することがベストプラクティスであり、LAPSはこの要件を満たします。
- Domain Adminアカウントが過去にワークステーションへログオンしていたことを検出。これにより攻撃者が利用可能なハッシュが残されてしまいます。ここで推奨されるベストプラクティスは、Domain Adminアカウントはドメインコントローラーへのログオンのみに使用し、ワークステーションやメンバーサーバー上のすべてのハッシュをクリアすることです。
ADセキュリティアセスメントツールの緩和策およびベストプラクティスに従うことで、管理者は攻撃者の潜在的なAttack Pathを排除し、これらの誤設定や脆弱性の悪用を防ぐことができます。
Attack Pathが見逃すActive Directoryリスク
Attack Pathは既知の攻撃を示すために作成されますが、脆弱性を解消することでこれらだけでなく、しばしば未知の経路も排除できます。そのため、脆弱性を根絶しベストプラクティスを遵守することがより重要です。
Attack Pathが描く図は、実際のActive Directoryセキュリティ状況を完全には表していません。組織がどのように脆弱になり得るかを示すグラフよりも、ADインフラストラクチャが現在も将来も露出しないことを保証できるツールの方が効果的です。
以下は、複雑なAttack Pathグラフには適さないものの、ADセキュリティアセスメントで検出が不可欠な攻撃例です。
- ブルートフォースパスワード攻撃 – アセスメントでは、一般的に知られているパスワードや辞書語、またはすべての文字の組み合わせを試行してパスワードを「推測」しようとする認証情報を検出すべきです。
- 無制限委任の露出 – ADユーザーまたはコンピュータオブジェクトがKerberosを使用する任意のサービスに委任されている場合。侵害されると、攻撃者は認証済みアカウントを任意のサービスで偽装できます。
- AdminSDHolder攻撃からActive Directoryを保護 – Active DirectoryのAdminSDHolderテンプレートにユーザーやグループを追加することで、すべての特権ユーザーおよびグループのACLに「スタンプ」され、それらのアカウントに対する権限が付与されます。
Singularity™ Identity Posture Managementは、このような脆弱性をはじめ多くのリスクをActive Directory環境でスキャンし、管理者に緩和策を案内し、将来的な予防のためのベストプラクティスを保証します。
まとめ
Attack Pathは、ネットワーク上でどのように攻撃が発生し得るかを管理者に示す興味深いグラフですが、既知の脆弱性を排除しベストプラクティスを徹底する積極的なアプローチの代替にはなりません。Singularity Identity Posture Managementは脆弱性を発見し、管理者がそれらを解消し、維持できるように導きます。
Active Directoryセキュリティアセスメントに関するFAQ
ADセキュリティアセスメントは、ドメインの構成、権限、グループポリシー、アカウント設定を詳細に確認し、弱点を発見するためのものです。ユーザー、コンピューター、グループの構造を調査し、不適切な権限や古いオブジェクトをチェックし、攻撃シナリオをシミュレーションします。アセスメントの結果を活用して、攻撃者が脆弱性を悪用する前にADを強化できます。
ADセキュリティアセスメントの目的は、攻撃者が横移動、権限昇格、認証情報の収集を可能にする設定ミスやリスクのある権限を明らかにすることです。信頼関係のマッピング、ACLの評価、攻撃経路のテストを通じて、修正の優先順位を決定し、実際の脅威が発生する前に組織の攻撃対象領域を削減できます。
攻撃経路グラフは、現在の権限に基づき攻撃者がAD内でたどる可能性のある経路を可視化します。ADセキュリティアセスメントはそれを超え、構成設定の監査、セキュリティベースラインへの準拠確認、実際の経路のテストを行います。静的分析と実践的なテストを組み合わせ、実際に悪用可能な攻撃経路を検証します。
単に攻撃経路を確認するだけでは、“deny” ACEや監視アラートなどの制御がそれらを遮断するかどうかは分かりません。ADアセスメントは実際の環境で構成をテストし、非推奨設定を検出し、実際に機能する経路を検証します。
この実証により、理論上のリスクをすべて追うのではなく、実際の攻撃を阻止するための変更に集中できます。
あるケースでは、アセスメントにより古いACLを介してドメイン管理者権限を持つ忘れられたサービスアカウントが発見されました。そのリンクを削除することで攻撃者のピボットを阻止しました。別のケースでは、監査チェックで契約業者に広範な権限を付与するネストされたグループが見つかり、それらのメンバーシップを削除することで攻撃者が悪用を計画していた権限昇格経路を遮断しました。
ADアセスメントは、過剰な権限のACL、無制限の委任、古いまたは高権限アカウント、公開されたサービスチケット、弱いKerberos設定、グループポリシーセキュリティのギャップなどを検出します。また、ドメインコントローラーのパッチ管理不足、弱いLDAPS/TLS構成、監視されていないレプリケーションリンクなど、攻撃者が隠密にアクセスする際によく利用するポイントも特定します。
アセスメントツールはLSASSからハッシュ化された認証情報を抽出し、Kerberoastingをシミュレートしてサービスチケットを要求し、弱いKerberosキーをテストできます。可逆暗号化を使用しているアカウントや強化されていないサービスプリンシパルを特定します。これらのターゲットを特定することで、パスワードのリセット、より強力な暗号化の要求、オフラインクラックに利用されるチケット要求のブロックが可能です。
ADはネットワークの信頼モデルの中心であり、侵害されると攻撃者に広範なアクセスを許します。すべてのACL、委任設定、ドメインコントローラー構成の可視化により、権限昇格や横移動が発生しうる箇所を把握できます。この明確な把握がなければ、リスクを推測するしかなく、隠れた攻撃経路を見逃す可能性があります。
ADセキュリティアセスメントは、少なくとも四半期ごと、または移行、ドメインコントローラーのアップグレード、合併などの大きな変更後に実施してください。その間は、特権グループのメンバーシップ、GPOの変更、監査ログなど主要な領域を毎月確認します。定期的な実施により、攻撃者が発見する前に新たな設定ミスを検出できます。
脆弱性データを定期的に更新し、高度なセキュリティ自動化ツールを活用してください。継続的な脅威監視、グラフベースの監視、アイデンティティ管理を有効化し、最も重要な資産に優先順位を付けます。脅威インテリジェンスフレームワークを利用し、SentinelOne’s AI搭載セキュリティソリューションでマルチクラウド環境全体の可視性を強化してください。
