攻撃者はなぜActive Directoryを狙うのか 侵害の理由とその対策
2023年11月、内閣官房の定例記者会見にて政府関連機関がサイバー攻撃を受けた可能性があると発表がありました。本件について多くの報道機関が当該機関のActive Directory(AD)が侵害されたと報じています。ADはかねてからサイバー攻撃事例において標的にされてきました。本稿ではADが攻撃者に狙われる理由とその侵害方法を解説し、それらを踏まえ組織がとりうる対策を紹介します。
数多くのサイバー攻撃事例で狙われるAD
2023年11月、内閣官房の定例記者会見にて政府関連機関がサイバー攻撃を受けた可能性があると発表がありました。内閣官房によると、外部組織からサイバー攻撃の可能性があるとの情報提供を受け当該組織で調査したところ、業務用イントラネットの管理サーバに不正アクセスが行われた可能性があることがわかったとのことでした。侵入された可能性のあるネットワークにおいて、機微な情報は扱っていないとのことですが、現在、警察と協力し調査を進めていると説明しています。
定例記者会見の中で、侵害されたとされる「管理サーバ」について具体的なシステム名は挙げられませんでしたが、多くの報道機関においてActive Directory(以降ADと表記)が侵害されたと報じられています。ADはMicrosoftのソフトウェアで、今回の報道にとどまらず、多くのサイバー攻撃事例において標的とされてきました。本稿ではADが攻撃者に狙われる理由とその侵害方法を解説し、それらを踏まえ組織がとりうる対策を紹介します。
攻撃者はなぜADを狙うのか
ADが狙われる理由の前にまずADの概要を説明します。ADはMicrosoft製のディレクトリサービスの一種で、Windows Serverの機能として提供されます。ディレクトリサービスは組織に存在するリソース(ユーザアカウント、マシン等)を集中的に管理するサービスで、主に組織のシステム環境で発生するリソースの認証認可に使用されます。ADは前述のディレクトリサービスの機能の他、Windowsで構成されるシステム環境(ドメイン/フォレスト)を管理しやすいようにMicrosoft独自の仕様が加えられています。例えば、グループポリシーはその一つで、組織内のマシンに一括で同じ設定を行ったり、特定のプログラムを実行させたりすることが可能です。このような特性からADは組織のシステム環境に大きな影響力をもつアプリケーションといえます。
ADは前述のように組織のシステム環境に大きな影響力を持つため、システム管理者にとっては大変便利なアプリケーションです。しかし、悪意がある者に使用された場合、組織のシステム環境に大きな被害を与えることができる大変危険なツールともなりえます。このような理由から、攻撃者にとってADの侵害はサイバー攻撃の内部活動における一つの目標(マイルストーン)のようにとらえられています。
ADの侵害についてもう少し詳しく解説すると、攻撃者はADを侵害することで最終的に「ドメイン管理者権限」の取得を目指します。その理由は「ドメイン管理者権限」がADの機能を制限なくコントロールできる権限を持っているからです。前述の通り、ADは組織のシステム環境の認証認可の他、組織内のすべてのマシンに任意の設定とプログラムの配信・実行をすることが可能です。ドメイン管理者権限はそれらADの機能を際限なくコントロールすることができます。そのため攻撃者にとってドメイン管理者権限はサイバー攻撃を成功させるにあたり、欠かせない存在なのです。
ADはどのように侵害されるのか
このように攻撃者にとって重要な位置づけとされるADの侵害はどのように行われるのでしょうか。ここではADの侵害原因となるパターンを2つ紹介します。
一つ目は「脆弱性の悪用」です。ADの脆弱性は現在までいくつも発見されています。例えば、2020年に発表されたZerologon(CVE-2020-1472)はその一例です。Zerologon はADの通信の仕組みに起因する脆弱性です。本脆弱性は、攻撃者がADと通信可能な任意のマシンを1台掌握するだけで、ドメイン管理者権限を得ることができてしまいます。攻撃が容易であること、また実際に被害を受けた事例も確認されたことで、当時世間を騒がせました。このように単体の脆弱性で容易にADを侵害できる例は稀ですが、軽微な脆弱性であってもADの設定や、ADが稼働するWindows Serverの脆弱性が重なることで、最終的にADの侵害につながる可能性があります。
Zerologonについての詳細な解説はこちら:セキュリティ用語解説 | Zerologonとは
二つは「ドメイン管理者アカウントの認証情報の窃取」です。一般に、組織のネットワーク侵入した攻撃者は水平移動と垂直移動と呼ばれる行為で活動範囲を広げます。具体的には次のような行動です。まず、攻撃者は自身が掌握したマシンに保存されている認証情報を列挙します。そしてその中で、他のマシンのログインに使えそうなアカウントを探し、認証情報を窃取して他のマシンにログインを試みます。これを水平移動と呼びます。また、攻撃者は掌握したマシンのアカウント列挙時に、より強い権限をもつアカウントが見つかればその認証情報を窃取します。そして、強い権限を持つユーザに成りすますことで、高い権限が必要なシステムへログインを試みます。これを垂直移動と言います。攻撃者はこの水平移動と垂直移動を繰り返し、ドメインで一番強い権限を持つドメイン管理者アカウントが使用するマシンの侵害を目指します。そして最終的にそのアカウント権限の窃取を狙います。
複数のマシンを渡り歩き認証情報の窃取を繰り返すこの活動は、一見とても手間がかかるように見えます。しかし実のところ、インターネット上にこれら活動をサポートするツールが存在しており、攻撃者はそれをうまく活用することで効率的に活動を行っています。例えば、Mimikatzはマシンの認証情報を窃取するツールで、マシンの管理者権限さえあればマシン上に存在するすべてのアカウントの認証情報を列挙し窃取することができます。またBloodhoundも攻撃者によく使われるツールの一つです。マシンの管理者権限があれば、「どのマシンやどのユーザを侵害すれば、ドメイン管理者権限を掌握できるか」といった攻撃の経路を攻撃者に提供します。攻撃者はこのようなツールを駆使しながらドメイン管理者アカウントの権限を窃取しADの侵害を目指します。
参考記事:Living Off The Land(環境寄生型)のサイバー攻撃~正規ログの中に埋没する侵入者をあぶりだすには?
ADを侵害されないためには
さて、ここまでAD侵害のパターンを2つ紹介しました。しかし、これら侵害のパターンも適切な対処を行うことで防ぐことが可能です。ここからは前述の侵害パターンから組織のADを守るべく、組織がとりえる対策を紹介します。
まず、1つ目の侵害パターン「脆弱性の悪用」を防ぐには、定期的にセキュリティパッチを充てることが重要です。一般的にADは組織のネットワーク内に存在するため、直接インターネットから攻撃を受けることはありません。しかし、攻撃者が組織のネットワークに侵入した場合、脆弱なADは格好の標的となります。そのため、ADが組織のネットワーク内で稼働していたとしても修正プログラム(セキュリティパッチ)を適用し、即時にそれが難しい場合はIPS(侵入防御システム)による仮想パッチ適用など対策をすることが重要です。
2つ目の侵害パターン「ドメイン管理者アカウントの認証情報の窃取」を防ぐには、特権アカウントの保護が重要です。具体的には、最小権限の原則に基づき日常のドメイン管理業務に必要な権限だけを付与したアカウントを作成・利用することが挙げられます。本対策により、ドメイン管理者アカウントが日常業務で使用されることがなくなるため、攻撃者はどのマシンに水平移動しても、ドメイン管理者アカウントの認証情報を窃取することができなくなります。また、端末毎にローカル管理者アカウントの認証情報をバラバラにすることで、そもそも攻撃者が容易に水平移動できなくすることも効果的です。一般的に組織ではPCやサーバは管理の簡素化のため、ローカル管理者アカウントに同じアカウント名/パスワードを設定しているケースが見受けられます。そのような環境では、すべてのマシンが同じ認証情報を保有していることから、1台のマシンを侵害するだけで、攻撃者は容易に他のマシンへ水平移動することが可能です。組織は端末毎にローカル管理者アカウントの認証情報を各々異なるものに設定することで、攻撃者の容易な水平移動を防止できます。具体的な対策としては、Windowsのローカル管理者アカウントのパスワードを管理するソリューションの活用などが挙げられます。
上記の2つの対策に加え、EDRやXDR等のセキュリティソリューションも大きな効果を発揮します。EDRはマシン上での疑わしい水平移動、垂直移動の兆候となる認証情報の窃取を検知します。さらに、XDRではEDRが担うマシン単体の検知に加え、メール、サーバ、クラウドワークロード、ネットワーク等の様々なセキュリティレイヤにおけるセンサ情報を収集・分析することで、組織全体規模での不審な振る舞いの検知を可能とします。
また、攻撃者が利用可能な情報資産であるアタックサーフェス(攻撃対象領域)の管理(アタックサーフェスマネジメント:ASM)も昨今注目されていますが、一般的にインターネット(外部)から直接アクセス可能な資産が注目されがちです。しかし、ADのような内部に存在する重要な資産もあるため、内部に保有していてリスクの高い資産の洗い出しも重要と言えるでしょう。
参考記事:アタックサーフェスリスクマネジメント(ASRM)を活用して企業のサイバーセキュリティを強化する方法
最後に
DXが一般化した昨今、どの組織においてもデジタル資産が増加の傾向にあります。しかし、それらすべてを限られたリソースで守ることは困難です。限られたリソースで組織のデジタル資産を守るためには、個々のデジタル資産が侵害された場合のリスクを正しく把握し、優先順位をつけて対応を行うことが重要となります。そう考えたとき、特に攻撃者の標的になりやすいADは対応優先順位を高く位置付けるべき対象といえます。このような背景から本稿ではADにフォーカスしましたが、皆様のシステム環境においてはAD以外にも事業経営に大きな影響を与えるデジタル資産が存在するでしょう。それらを適切に守るためにも、組織は個々のデジタル資産における侵害リスクを明確に把握しておくことが必要です。
Security GO新着記事
国内でも活発化するDDoS攻撃の事例を解説~攻撃者の目的や対策は?~
(2024年12月20日)
AIガバナンスの動向は?各国のAI法規制を概観
(2024年12月20日)
サイバー攻撃でよく悪用される正規ツールとは?
(2024年12月19日)