TOPセキュリティ > Active Directoryを狙う攻撃、防御のポイントは...

セキュリティ

Active Directoryを狙う攻撃、防御のポイントは(後)

2022/07/22

Susan Bradley CSO

 米MicrosoftのActive Directoryは登場から22年がたった。コンピューターの世界の時間軸で言えば相当に古い。こうした古い技術はサイバー攻撃者にとって格好の標的になる。現代の基準に沿ったセキュリティー対策がなされていないレガシーコードやプロセスが現場で使われていたり、パッチや推奨設定がきちんと適用されていなかったりする。

前回から続く)

設定の不備を突く攻撃

Credit: Thinkstock
Credit: Thinkstock

 ネットワークへの不正アクセスに使われる手口で特に多いのはフィッシング、次に多いのは脆弱性や設定の不備を突く不正アクセスだ。Active Directory環境の中には、深く考えないまま業務アプリケーション側のニーズに合わせて構成した結果、不適切な設定になっているものも多い。

 Melber氏の話にも出てきたように、Active Directoryのインストール時には、KerberosやNTLM、NTLM v2、LanManagerといった認証プロトコルが自動でインストールされる。NTLMやLanManagerのような古いプロトコルは無効化しても通常は問題ないと思われるが、事前にテストしてから無効化する方がよい。

 攻撃者はドメインにアクセス可能なユーザー名とパスワードを奪ったうえでログインを行い、ソフトウエアをインストールできるドメインアカウントかどうかを判断する。攻撃者がよくインストールするツールとしては、ドメインの構成要素の把握に使える「Active Directory Explorer(AD Explorer)」がある。攻撃者はキャッシュされた資格情報の探索やパスワードの収集を行ったうえで、ドメインで特権を持つ資格情報かどうかを判断する。

↑ページ先頭へ