Active Directoryのドメイン管理者アカウントが不正利用、組織内攻撃に悪用：Kerberosの脆弱性にあらためて注意、悪用で権限昇格の恐れも

　JPCERTコーディネーションセンター（JPCERT/CC）は2014年12月19日、Active Directoryのドメイン管理者アカウントを悪用し、組織内ネットワークで横断的に攻撃活動を行う例が確認されているとし、注意を呼び掛けた。JPCERT/CCでは、Active Directoryのログを確認し、管理者アカウントの不正利用の痕跡がないかどうか確認するよう推奨している。

　一方ソフトバンク・テクノロジーは、マイクロソフトが2014年11月に定例外の緊急パッチで修正したWindowsのKerberos認証の脆弱（ぜいじゃく）性（CVE-2014-6324、MS014-068）の影響は予想以上に深刻である可能性が高いとし、アドバイザリーを公開した。この脆弱性を悪用されれば、何らかの方法で一般ドメインユーザーのログイン情報を盗み取った攻撃者（あるいは一般ドメインユーザーの権限を持つ内部犯行者）がドメイン管理者アカウントの権限を奪取し、重要情報の窃取やサーバーへの侵入といった攻撃につながる恐れがある。

　Kerberos認証の脆弱性は、Windows Vista/7/8とWindows Server 2003/2008/2012といった、主要なWindowsプラットフォームに存在する。

　通常、ドメインユーザーがActive Dirctoryにログインする際には、ログイン用の情報をサーバーに送信してKerberosチケットを取得する。このチケットに細工を施し、再度サーバーにアクセスすることによって、自身の権限を管理者アカウント（特権ユーザー）に昇格させることが可能になってしまう、というのが脆弱性の概要だ。

ソフトバンク・テクノロジーが行った、Kerberos認証の脆弱性の概要

　ソフトバンク・テクノロジーが実際に、Windows Server 2008 R2をターゲットとして検証を行ったところ、Windows 7を利用しているドメインユーザー（与えられている権限は「Domain User」）が、細工を施したチケットを送信することで「Domain Admins」などの権限を取得し、アクセス制限がかけられているはずのデータにアクセスできてしまうことが確認できた。仮に、攻撃者がこの脆弱性を突いてドメイン管理者権限を取得した後、長い有効期限を持つKerberosのTGTチケットを発行してしまうと、その期間中、パスワードを変更しても永続的な侵入を許してしまうことになる。

　ソフトバンク・テクノロジーの辻伸弘氏は、「この脆弱性は、ドメインに参加しているコンピュータを一台でも乗っ取ることができれば、ドメインの管理者権限を取得できてしまうため、極めて危険性が高い。標的型攻撃の他、内部犯行にも悪用できる」と指摘している。

　マイクロソフトのアドバイザリーによると、対策は11月に公開されたパッチを適用すること。残念ながら回避策は存在しない一方で、この脆弱性を利用した攻撃が確認されているという。早期のパッチ適用が困難な場合は、少なくともActive Directoryのログを取得し、攻撃の有無を確認することが推奨される。なお、デフォルトでは認証ログを取得するようになっていないため、設定の変更が必要だ。

　JPCERT/CCが確認したドメイン管理者アカウントの不正利用事例では、「組織内部に侵入した攻撃者による、 管理者アカウントの不正使用は、ログの定期的な確認により検知可能なものが多数」だったという。

　JPCERT/CCではこれを踏まえ、管理者アカウントの「接続先」や「接続元端末」「使用している時間帯」「操作内容」を確認するとともに、本来ならば使用していないはずのアカウントが利用されていないかどうかなどをチェックするよう推奨。さらに、管理者アカウントの認証手段を強化したり、管理者アカウントを定期的に監査したりするといった基本的な対策を徹底するよう勧めている。