Active Directory(AD)は攻撃者にとって高価値な標的であり、権限昇格やアクセス拡大を目的とした侵害が頻繁に試みられています。残念ながら、ADは企業全体でユーザーが容易にアクセスできる必要があるため、その運用上、セキュリティ確保が極めて困難であることで知られています。マイクロソフトによれば、毎日9,500万以上のADアカウントが攻撃を受けており、この問題の深刻さが浮き彫りになっています。
ADの保護は困難ではありますが、決して不可能ではありません。必要なのは適切なツールと戦術です。以下は、企業が今日の最も一般的な攻撃戦術から AD をより効果的に保護するために活用できる 10 のヒントです。
1.特権、委任管理者、サービス、およびネットワークセッションの列挙を防止および検出
敵対者が境界防御を突破し、ネットワーク内に足場を確立すると、潜在的に価値のある資産と、それらに到達する方法を特定するための偵察を行います。その最善の方法の一つは、AD を標的にすることです。AD は、検出される可能性がほとんどない通常の業務活動として偽装できるからです。
特権、委任管理者、サービスアカウントの列挙を検知および防止する機能により、防御側は攻撃サイクルの早い段階で敵の存在を警告することができます。エンドポイントに偽装ドメインアカウントと認証情報を展開することで、攻撃者を混乱させ、防御側が彼らを囮へ誘導することも可能です。
2. 特権アカウントの脆弱性を特定し是正する
ユーザーはワークステーションに認証情報を保存することが多い。これは意図せず行われることもあれば、利便性のために意図的に保存されることもある。攻撃者はこのことを知っており、ネットワーク環境へのアクセス権を得るために 保存された認証情報を標的にします。適切な認証情報があれば、侵入者は常に特権をエスカレートしてさらにアクセス範囲を拡大しようとします。
企業は、特権アカウントの露出を特定し、設定ミスを修正し、保存された認証情報、共有フォルダ、その他の脆弱性を除去することで、攻撃者にネットワークへの容易な侵入経路を与えることを回避できます。
3.「ゴールデンチケット」および「シルバーチケット」攻撃の防御と検知
Pass-the-Ticket(PTT)攻撃は、攻撃者がネットワーク内で横方向に移動し、権限を昇格させるために使用する最も強力な手法の一つです。Kerberosのステートレス設計戦略は悪用されやすく、攻撃者がシステム内でチケットを容易に偽造できることを意味します。「ゴールデンチケット」と「シルバーチケット」は、攻撃者がドメイン侵害とドメイン永続化を達成するために使用する最も深刻なPTT攻撃の2種類です。
この問題に対処するには、脆弱なKerberosチケット付与チケット(TGT)やコンピュータサービスアカウントを検知し、PTT攻撃につながる可能性のある設定ミスを特定して警告する能力が必要です。さらに、Singularity Identity のようなソリューションは、エンドポイントでの偽造チケットの使用を防ぐことができます。
4.Kerberoasting、DCSync、DCShadow 攻撃からの保護
「Kerberoasting」攻撃は、攻撃者が特権アクセス権を容易に取得する手段であり、DCSyncおよびDCShadow攻撃は企業内でのドメイン永続性を維持します。
防御側は、AD攻撃をリアルタイム分析し、攻撃の原因となる設定ミスを警告するADの継続的評価機能を必要とします。さらに、エンドポイントの存在を活用して悪意ある攻撃者が標的とするアカウントを発見するのを防ぐソリューションは、こうした侵入の実行能力を阻害できます。
5.ドメイン共有からの認証情報収集を防止する
攻撃者は、SysvolやNetlogonなどのドメイン共有に保存されたスクリプトやグループポリシーファイル内の平文または復号可能なパスワードを標的とするのが一般的です。
6.隠された特権 SID を持つアカウントの特定
Windows セキュリティ識別子 (SID) インジェクション手法を使用すると、攻撃者は SID の「履歴」属性を悪用し、AD 環境内で横方向に移動し、さらに特権を昇格させることが可能になります。
これを防止するには、SID履歴属性およびレポート内で既知の特権SID値が設定されたアカウントを検出する必要があります。
7. 重要オブジェクトに対する危険なアクセス権委任の検出
委任は、ユーザーまたはコンピューターアカウントが別のアカウントを偽装することを可能にするADの機能です。たとえば、ユーザーがWebサーバーでホストされているWebアプリケーションを呼び出す場合、アプリケーションはユーザーの資格情報を模倣して別のサーバーでホストされているリソースにアクセスできます。委任制限が有効になっていないドメイン内のコンピューターは、ドメイン内の他のサービスに対してユーザー資格情報を偽装できます。残念ながら、攻撃者はこの機能を利用してネットワークの異なる領域へのアクセス権を取得できます。
ADの脆弱性と委任の露出を継続的に監視することで、防御側は攻撃者が悪用する前にこれらの脆弱性を特定し、修正することができます。
8. 委任が有効化された特権アカウントを特定する
委任について言えば、制約のない委任が設定された特権アカウントは、KerberoastingやSilver Ticket攻撃に直接つながる可能性があります。企業は、委任が有効化された特権アカウントを検知し報告する能力が必要です。特権ユーザー、委任された管理者、サービスアカウントの包括的なリストは、防御者が潜在的な脆弱性を把握するのに役立ちます。この場合、委任が自動的に悪いわけではありません。運用上の理由で必要な場合が多いですが、防御者はSingularity Identityのようなツールを使用することで、攻撃者がそれらのアカウントを発見するのを防ぐことができます。9. AdminSDHolder ACL内の非特権ユーザーを特定する
Active Directory ドメイン サービス (AD DS) は、AdminSDHolderオブジェクトとセキュリティ記述子伝播プロセス(SDProp)を使用して、特権ユーザーとグループを保護します。AdminSDHolderオブジェクトには一意のアクセス制御リスト(ACL)があり、組み込みの特権ADグループのメンバーであるセキュリティ主体の権限を制御します。攻撃者は横方向の移動を可能にするため、AdminSDHolderにアカウントを追加し、他の保護されたアカウントと同じ特権アクセスを付与できます。
組織は、Singularity Identity Posture Management などのツールを使用して、AdminSDHolder ACL 内の異常なアカウントの存在を検出し、警告することができます。
10.デフォルトのドメインポリシーまたはデフォルトのドメインコントローラーポリシーへの最近の変更を特定する
AD内では、組織はグループポリシーを使用して、環境に固有のセキュリティ設定を定義することにより、いくつかの運用構成を管理します。これらは、多くの場合、管理グループを設定し、起動およびシャットダウンスクリプトを含みます。管理者は、各レベルで組織が定義したセキュリティ要件を設定し、ソフトウェアをインストールし、ファイルおよびレジストリのアクセス許可を設定するために、これらを構成します。残念ながら、攻撃者はこれらのポリシーを変更することでネットワーク内にドメイン永続性を確立できます。
デフォルトのグループポリシー変更を監視することで、防御側はこうした攻撃者を迅速に発見し、セキュリティリスクを軽減するとともに、ADへの特権アクセスを防止できます。
攻撃者がADを標的にするために使用する最も一般的な戦術を理解することは、企業がADを防御するのに役立ちます。Singularity Identity Posture ManagementやSingularity Identityといったツールを開発する際、私たちは多くの攻撃ベクトルを考慮し、それらを検知・阻止する最善の方法を特定しました。
これらのツールを導入することで、現代の企業は脆弱性を効果的に特定し、悪意のある活動を早期に検知し、侵入者が権限を昇格させて小規模な攻撃を大規模な侵害に発展させる前にセキュリティインシデントを修復できます。ADの保護は困難ですが、現代のAD保護ツールのおかげで克服不可能な課題ではありません。
Active Directory セキュリティのベストプラクティスに関するよくある質問
Active Directory セキュリティとは、Microsoft Active Directory 環境をサイバー脅威から保護するために利用できる一連の対策と実践手法です。ユーザーアカウント、コンピューター、アクセス権限を一元管理することで、ネットワーク内のどのリソースに誰がアクセスできるかを制御します。要するに、ユーザーが本人であることを確認し、アクセス許可後に実行可能な操作を決定するゲートキーパーの役割を果たします。
これには、認証、認可、アクセス制御、監視が含まれ、不正なユーザーがシステムやデータを改ざんするのを防ぎます。
Active Directoryのセキュリティが極めて重要な理由は、攻撃者がADに侵入した場合、実質的に組織全体の鍵を握ることになるからです。AD はネットワーク全体のすべてのシステム、アプリケーション、機密データへのアクセスを制御します。AD が侵害されると、大規模なデータ侵害、システムの破損、さらにはネットワーク全体の停止につながる可能性があります。
現在、Azure AD への攻撃は年間 250 億件発生しており、この中心的なハブを保護できない場合、脅威アクターは特権をエスカレートさせ、ネットワーク内を横方向に移動し、ランサムウェアを展開したり、認証情報を盗んだりすることができます。被害は事業運営を麻痺させ、多大な経済的損失をもたらす可能性があります。
特権ユーザーを最小限に抑え、個別の権限ではなくグループを使用してアクセスを割り当てるべきです。最新の要件を満たす強力なパスワードポリシーを適用し、すべての管理者アカウントに多要素認証を強制します。プリントスプーラーなどの不要なサービスを無効化し、SMBv1を無効化、可能な限りNTLMを制限してください。定期的なセキュリティ評価を実施し、休眠アカウントを発見したら攻撃経路となる前に削除します。
特権グループの変更やログイン失敗試行など、AD上の不審な活動を継続的に監視してください。ドメインコントローラーの物理的セキュリティを確保し、適切なバックアップと復旧計画を維持します。
MFAはパスワード以外の追加認証ステップを導入することでADのセキュリティを大幅に向上させます。フィッシングやブルートフォース攻撃で認証情報が盗まれても、モバイルアプリやハードウェアトークンといった第二要素がなければ侵入できません。MFAは自動化された攻撃の99.9%以上をブロックし、認証情報が漏洩した場合でも侵害リスクを98.56%低減します。
Microsoft Authenticator、FIDO2キー、生体認証、SentinelOneなどのプラットフォームなど、様々な方法を使用して、脅威アクターによるアカウント侵害を困難にすることができます。MFAは問題発生時のフォレンジック分析向けに、より優れた監査証跡も提供します。
Active Directory(AD)セキュリティチェックリストでは、まず現在のセキュリティ状態を監査し、削除が必要な古いアカウントを特定することから始めます。次にパスワードポリシーを見直し強化し、ブルートフォース攻撃を防ぐためのアカウントロックアウトポリシーを実施します。さらに、特権アカウントすべてに多要素認証を導入し、最小権限原則に基づく安全なアクセス制御ポリシーを確立します。定期的なパッチ管理を設定し、脆弱性評価を実行し、構成上の問題を発見するためにAD監査を実施します。
特にドメイン管理者グループの変更や認証失敗など、重要なイベントに対して適切なログ記録と監視を有効にします。セキュリティポリシーを文書化し、スタッフにベストプラクティスを訓練し、AD復旧プロセスを定期的にテストします。
セキュリティログ内の特定のイベントIDを監視する必要があります。特に、ログイン失敗(4625)、アカウントロックアウト(4740)、特権昇格の試み(4672)に注目してください。ドメイン管理者やエンタープライズ管理者などの特権グループへの不正な変更に注意してください。これらはセキュリティ侵害の兆候となることが多いです。単一 IP アドレスからの複数回の失敗した試行や、通常の勤務時間外のログインなど、異常なログインパターンに対してリアルタイムアラートを設定してください。
グループポリシーの変更、管理者アカウントのパスワードリセット、ドメインコントローラー設定の変更を監視してください。SentinelOne はこれらのアクティビティの追跡を支援し、自動検出とアラート通知をサポートします。
