JPCERT/CCが「Active Directoryのセキュリティ」にフォーカスした文書を公開：社内にあるから安全だと思っていませんか？（1/2 ページ）

JPCERT/CCが公開した「ログを活用したActive Directoryに対する攻撃の検知と対策」

　この状況を改善すべく、JPCERT/CCは2017年3月14日、「ログを活用したActive Directoryに対する攻撃の検知と対策」と題する文書を公開した。Active Directoryは企業システムで広く利用されているにもかかわらず、その安全な運用のための情報は断片的で、日本語で体系的にまとめられた文書が少ない。そこで、マイクロソフトが公開している情報などを確認しつつ、攻撃手法と対策についてまとめたのがこの文書だ。「ただ守りましょうと呼び掛けて終わるのではなく、“具体的にどのように手を動かせばいいか”を記している」（松田氏）という。

　この文書では、なぜサイバー攻撃の中でActive Directoryが狙われ、どのように攻撃されるのかを主な手法を図版付きで解説。そして、フローチャートに沿って最低限実施すべき対策とともに、悪用された場合に素早く気付けるよう、どんなログが残るかも紹介している。複数のステップで構成されているサイバーキルチェーンのうち、横断的侵害の段階で攻撃を検知し、食い止めることによって、深刻な被害を防いでもらうことが狙いだ。

狙われやすいActive Directory

　標的型攻撃対策というと、さまざまなセキュリティ製品を用いたマルウェアの検知に加え、外部に公開されたプロキシサーバのログ解析、インシデントレスポンス体制の整備といった事故前提型の取り組みも思い浮かぶようになった。その中でActive Directoryは、「見逃されがちなポイント」で、実は攻撃者にとって「狙い目」になっているという。

　Active Directoryは、もともとはアカウントやリソースの情報を集中管理して運用を便利にするための仕組みだ。しかし、ひとたび攻撃が成功してドメイン管理者権限が奪い取られれば、ほぼあらゆる操作が可能になってしまう。攻撃者にとっても同様に便利な仕組みなのだ。「Active Directoryはシステム内部にあり、外向けのサーバよりも安全というイメージがあるかもしれない。しかし、そんな慢心を逆手に取り、実際には狙われやすい」（松田氏）

　では、Active Directoryはどのような手法で攻撃されるのだろうか。文書では主に2つの方法を解説している。

　1つは「Microsoft Windows Serverに関する脆弱性（CVE-2014-6324）」に代表される、Kerberos認証の脆弱（ぜいじゃく）性を悪用してドメイン管理者権限を取得する方法。もう1つは「Pass-the-Hash」や「Pass-the-Ticket」と呼ばれる、デバイスのメモリに保存された認証情報を悪用する方法だ。「いずれも、攻撃手法やMimikatzのようなツールが公開されており、容易に攻撃できる状況だ」（松田氏）

Active Directoryに対する攻撃例

　残念ながら、しばしば悪用されるKerberos認証の脆弱性は2014年に公表された問題だ。「修正プログラムも当然あるが、それが適用されていない組織が多い。2017年3月現在でも悪用を確認している」（松田氏）

　Pass-the-Ticketに関しては、「不正に『Golden Ticket』や『Silver Ticket』と呼ばれる認証チケットを作成できる、非常に厄介な問題である。Golden Ticketではドメイン管理者を含む任意のユーザーへのなりすましが可能であり、サーバの管理者権限を奪取することで作成できるSilver Ticketでは、サーバの管理者や利用者になりすまして任意のサービスにアクセスできる。しかも、いずれも有効期限が10年と、昨今のシステムにおいてはほぼ永続的といえるほど長期にわたって利用できる。その上Silver Ticketは、ドメインコントローラーにアクセスせずに使えるためにログが残らない。とにかく厄介だ」と松田氏は説明した。