企業の「心臓部」Active Directoryが標的に、特権ID奪取から始まる全滅シナリオ

背景

企業のユーザー認証と権限管理を一元的に担うActive Directory（AD）は、まさに組織ネットワークの「心臓部」です。しかし、多くの企業でADは長年運用され続けており、古い設定や脆弱なプロトコルが残存しているケースが少なくありません。攻撃者にとって、ADのドメイン管理者権限を奪取することは、組織内の全システム、全データへのアクセス権を手に入れることと同義です。そのため、ランサムウェア攻撃や標的型攻撃のほぼ全てにおいて、ADの攻略が攻撃チェーンの重要なステップとして組み込まれています。ADが陥落すれば、セキュリティ製品の無効化、バックアップの削除、全サーバーの一斉暗号化などが容易に実行されてしまいます。

実態

ADに対する攻撃手法は高度化・自動化されています。代表的な手口として「Kerberoasting（ケルベロースティング）」があります。これは、ADの認証プロトコルであるKerberosの仕様を悪用し、サービスアカウントのパスワードハッシュを抽出してオフラインで解読する手法です。また、「Golden Ticket（ゴールデンチケット）」攻撃では、ドメイン全体の認証を司るKRBTGTアカウントのハッシュを盗み出し、有効期限のない偽造チケットを作成することで、パスワードを変更されても永続的に管理者権限を維持します。さらに、「DCSync」攻撃では、ドメインコントローラーになりすましてパスワード情報を同期させ、全ユーザーの認証情報を窃取します。これらの攻撃は、初期侵入した一般ユーザー端末からツールを使って実行されることが多く、正規の通信に紛れて行われるため、従来のファイアウォールやアンチウイルスソフトでは検知が困難です。また、ADの設定不備（特権アカウントの過剰付与、脆弱なパスワードポリシー、PrintNightmareなどの未パッチ脆弱性）も攻撃者に悪用されています。

影響と対策

ADの侵害は、企業ネットワークの完全な掌握を意味し、事業継続における最大のリスクです。対策としては、まずAD自体の衛生管理（ハイジーン）が重要です。不要な管理者アカウントの削除、Tierモデル（特権階層モデル）による管理者端末の分離、レガシープロトコル（NTLMv1など）の無効化を実施します。また、ITDR（Identity Threat Detection and Response：アイデンティティ脅威検知・対応）の導入が急務です。Check PointのIdentity Protection機能やFortiRecon、FortiEDRなどは、ADに対する不審なクエリや特権昇格の試みをリアルタイムで検知し、侵害されたアカウントを自動的に隔離・無効化します。さらに、ドメイン管理者などの特権IDについては、多要素認証（MFA）を必須化し、パスワードのみでのログインを禁止することが極めて有効です。定期的なADセキュリティ診断を行い、攻撃者に悪用されやすい設定ミスを洗い出すことも推奨されます。

まとめ

「ADを制する者がネットワークを制する」と言われるほど、ADセキュリティは重要です。境界防御を突破された後、最後の砦となるADを守り切れるかが、全滅を防ぐ鍵となります。PSIでは、AD環境の現状診断から、ITDRソリューションの導入、特権ID管理の強化まで、企業の心臓部を守るための専門的なセキュリティ対策をご支援いたします。

会社概要

社名：株式会社ピーエスアイ（PSI）
所在地：〒160-0022 東京都新宿区新宿5丁目5-3 建成新宿ビル4階
設立：1994年
TEL：03-3357-9980
FAX：03-5360-4488
URL：https://www.psi.co.jp
事業内容：サイバーセキュリティ製品の販売および導入支援、運用サポート、ITコンサルティング

報道関係者様からのお問合せ先

株式会社ピーエスアイ
広報担当：内藤
電話番号：（03）3357-9980
Eメールアドレス：psi-press@psi.co.jp