はじめに

IT機器やアプリケーションの脆弱性は毎日のように発見されており、組織のIT資産に対する攻撃もまた同様に後を絶ちません。その中でもActive Directory(以降ADと表記します)が悪用されたサイバー攻撃は、機密情報漏洩、業務停止、社会的信用の喪失など組織に甚大な被害をもたらします。

この記事では、ADセキュリティについておさらいしながら、AD対策のヒントとなる内容をご紹介いたします。

なぜADが狙われるのか？

Microsoft社が提供するADは組織の認証認可の制御を一元管理するディレクトリサービスで、長年にわたり多くの組織で採用されています。組織改編、従業員の部署移動や企業合併を繰り返した先のAD設定は複雑で、管理と操作を行うAD管理者の運用負荷は容易に想像ができるでしょう。さらに、「可用性を優先したい」「外部に公開されていないサーバーだから」という理由で、十分なセキュリティ対策がとられていないADが多くの組織で存在するのも事実です。

一方で攻撃者は組織のこういった状況を熟知しています。彼らは外部公開されているIT資産の脆弱性やソーシャルエンジニアリングを悪用してターゲット組織への侵入に成功すると、次は認証情報を盗んでラテラルムーブメントや権限昇格を繰り返し最終目標へと近づいていきます。この認証情報奪取を効率よく行うためにADが標的となっているのです。

ADが悪用されたインシデント例

ケース１

攻撃者に内部ネットワークへの侵入を許し、職員らの個人情報が流出した。このときADが不正アクセスされた可能性がある。数か月後に警察からの連絡を受けるまで組織は攻撃を把握していなかった。

ケース2

組織のシステムがサイバー攻撃に遭いランサムウェアに感染。調査の結果、感染の2か月前から不正侵入が発生していたこと、また、ADのグループポリシーを改悪され、ランサムウェアを自動的に配布するバッチファイルが配置されていたことが判明した。

ケース3

ランサムウェアの被害に遭い、約3ヶ月間の業務停止を余儀なくされた。その後の調査により、ADに次のような複数の設定不備が存在していたことが報告された。

• 最小桁数5桁のパスワード設定を許容
• ロックアウト設定が無効化
• ユーザーアクセス制御(UAC)の問題

ADのリスク

ADは組織のクリティカルな情報を一元管理しているという性質上、侵害された場合に組織に多大な影響を及ぼす可能性があります。

脆弱性の悪用

一般的なシステムと同様にADの脆弱性も定期的に発見されており、中にはPOCが公開されている脆弱性もあるため、非常に大きな脅威となる場合があります。
例えば、Zerologon(CVE-2020-1472)と名付けられた脆弱性は、内部ネットワークにいる攻撃者が簡単にドメインコントローラーの管理者権限を取得できるという問題があり、悪用されるとADに重大な危険が及ぶのは明らかです。

設定ミスによる攻撃経路の拡大

前出の脆弱性の悪用とは異なり、AD管理者の過失や見落としといったヒューマンエラーや、セキュリティよりも運用のしやすさを重視した弱い設定がADリスクとなる点がポイントです。また、ADの設定監査を1回実施しただけで安心はできません。日々の運用で不要な設定変更を行ったり、一時的な作業で変更した設定を放置してしまった結果、リスクにつながることがあります。

過剰な特権グループメンバー

内部に侵入しADから認証情報の奪取を考えている攻撃者が最終的に狙うのは、Enterprise Admins、Domain Admins、Administratorsといった特権グループメンバーのアカウントです。これらのグループメンバーが多いほどADのリスクが増えると考えてよいでしょう。また、内部犯や過剰な権限が与えられた正当なユーザーによる設定変更といった潜在的なリスクが含まれていることも忘れてはいけません。

休眠アカウントの放置

休眠アカウントとは一定期間ログオンされないアカウントを指し、具体的には従業員の退職後も残存し続けているアカウントがこれに該当します。休眠アカウントは管理すべきアカウント数を増加させるだけでなく、攻撃者や退職者による不正アクセスに悪用される可能性があります。

セキュリティ強度の低いパスワードの許容

パスワードポリシーの重要性はいたるところで言及されていますが、ADにおいても同様です。短いパスワードやありがちなパスワード設定を許容することは、ブルートフォース攻撃や辞書攻撃に対して脆弱な状態となります。

危険なKerberos委任

Kerberos委任とはユーザーが自身の認証情報を委任するサービスに渡し、サービスがユーザーの代理としてリソースにアクセスする設定です。「制約なし委任」と呼ばれる委任方式では、サービスをホストするサーバーのメモリ上にユーザーの認証情報が保存されるため、このサーバーに不正アクセス可能な攻撃者はユーザーの認証情報を盗み出しユーザーになりすますことができます。

AD保護のための対策

では、ADリスクを緩和し保護するためにはどのような対策が求められるのでしょうか。

セキュリティパッチの適用

脆弱性の悪用を防ぐためにセキュリティパッチを適用します。そのためには、ADの脆弱性情報を収集し、管理しているADは該当するのか、どういった影響があるのか、パッチは公開されているかなどを確認しましょう。

過剰な権限付与の見直し

ユーザーやシステムに対して作業遂行に必要な最小限の権限のみを付与するといった最小特権の原則は、ADに限らずサイバーセキュリティの概念として重要です。特権グループに多くのメンバーが所属している場合は、まず特権グループメンバーとする最大数を検討し、適切ではないメンバーはグループから削除します。さらに、ユーザーに割り当てられた不必要な特権についても考慮する必要があります。

例として、Group Policy Object(以下GPOを表記します)について考えてみましょう。GPOはドメイン内の複数のコンピューターに対して、Windows Updateの自動更新設定やプリンタへの初期アクセスのタイミングでプリンタドライバの自動インストールといった動作制御を一括管理することができます。このような設定は基本的に特権グループによって制御されるべきであり、Domain UsersグループやそのメンバーにGPO編集権限を与えるのはふさわしくありません。

インシデント例のケース2においてこれらに編集権限があったかまでは定かではありませんが、攻撃者はGPO編集権限を持つアカウントを乗っ取った後、GPOを改変してADを攻撃ツールとしています。この攻撃経路を最小限に抑えるために、ドメイン内で設定されているすべてのGPOにおいて、特権グループ以外に過剰な権限が与えられていないかチェックします。

適切なアカウント管理

アカウント不正利用のリスクを減らすため、不要なアカウントは無効化または削除を行います。
例えば、長期にわたってログオンされていないアカウントかどうかは、最終ログイン日時を確認することで判定が可能です。一定期間を超えてログインしていないアカウントを検索し、条件に一致するアカウントが見つかった場合はそれらを無効化または削除します。

十分な強度のパスワードポリシーとアカウントロックポリシーを設定

パスワードの長さを最小でも8文字以上に設定し極端に短いパスワードを排除します。またアカウントロックルールを適応して認証突破に対する防御を固めます。
GPOを用いてポリシーを一元管理するのはもちろん、特権ユーザーや特権グループにはPSO(Password Setting Object)を割り当ててきめ細やかな対策をとることも可能です。

危険なKerberos委任を避ける

危険なKerberos委任で説明した「制約なし委任」方式の利用は避け「制約つき委任」方式を採用します。また、Administratorが委任するアカウントにならないよう次のどちらかを実施しアカウントを保護します。

• 「Protected Users」グループメンバーとする
• アカウントオプションの「アカウントは重要なので委任はできない」を有効化する

さいごに

ここでご紹介した対策はほんの一例です。一度にすべての対策を実施するのが難しい場合は、深刻度の高い問題からひとつひとつ修正して進めていくのがよいでしょう。

また、1回限りのADヘルスチェックで永続的な安全が保障されるものではありません。継続してチェックし安全なADの状態を維持することが重要です。

しかし、マンパワーでADの設定不備を効率よくかつ見落としなくチェックするのは限界があります。このような問題に直面した際にはツールの導入をご検討ください。
 

Tenable Identity ExposureはADの設定を監視し、ADへの攻撃を検出するツールです。お客様のAD保護をサポートします。

Active Directoryセキュリティにご興味のある方は、以下の弊社サイトからお気軽にお問い合わせください。
https://www.techmatrix.co.jp/product/tenable/identityexposure.html