インジケーター

複数のコンピューターに対し、NTLM または Kerberos プロトコルを使用して同じソースから大量の認証要求が送信された場合、BloodHound/SharpHound を使用した攻撃の兆候である可能性があります。

Zerologon と名付けられた重大な CVE-2020-1472 は、Netlogon プロトコルの暗号化の欠陥を悪用する攻撃であり、攻撃者は任意のコンピューターと同様にドメインコントローラーを使用して Netlogon の安全なチャネルを確立できます。そこから、ドメインコントローラーアカウントのパスワード変更​、強制認証、DCSync 攻撃など、複数の侵入後のテクニックを使用して権限昇格を実現する可能性があります。ZeroLogon エクスプロイトは、実際の Netlogon 偽装認証バイパス (IOA「Zerologon 悪用」により対処済み) を使用した侵入後の活動と混同されることがしばしばあります。このインジケーターは、Netlogon 脆弱性と合わせて利用できる侵入後の活動の 1 つ​、すなわちドメインコントローラーマシンのアカウントパスワードの変更に焦点を当てています。

Golden Ticket 攻撃では Active Directory キー配布サービスアカウント (KRBTGT) に対する制御を獲得し、そのアカウントを使用して有効な Kerberos Ticket Granting Ticket (TGTs) を作成します。

DCShadow は、後期段階の別の kill chain 攻撃です。この攻撃では、特権認証情報を持つ攻撃者が、ドメインレプリケーションによりドメインに任意の変更 (例: 禁止されている sidHistory 値を適用する) をプッシュするために、ローグドメインコントローラーを登録します。

DNSAdmins エクスプロイトは、MicrosoftDNS サービスを実行しているドメインコントローラーの制御を DNSAdmins グループのメンバーが乗っ取ることを可能にする攻撃です。DNSAdmins グループのメンバーには、Active Directory DNS サービスの管理タスクを実行する権限があります。攻撃者はこの権限を悪用して、高い特権を持った文脈に悪意のあるコードを埋め込み、実行できます。

ローカル管理者グループが、おそらく BloodHound/SharpHound を使用して、SAMR RPC インターフェースで列挙されました。

Mimikatz の DCSync コマンドにより、攻撃者はドメインコントローラーをシミュレートして、ターゲット上でコードを一切実行することなく、他のドメインコントローラーからパスワードハッシュと暗号化キーを取得できます。

パスワードスプレーは、よく使われる少数のパスワードを使用して、大量のアカウント (ユーザー名) にアクセスしようとする攻撃です。low-and-slow 方式とも呼ばれます。

PetitPotamツールを使用すると、ターゲットマシンの認証をリモートシステムに強制し、通常はNTLMリレー攻撃を実行できます。PetitPotam がドメインコントローラーを標的としている場合、攻撃者はドメインコントローラーの認証をリレーする別のネットワークマシンに対して認証を行うことができます。

ユーザーがログオンした後、ローカルセキュリティ機関サブシステムサービス (LSASS) のプロセスメモリに保存されている認証情報マテリアルに攻撃者がアクセスしようとすることがあります。

DPAPI ドメインバックアップキーは、DPAPI シークレットのリカバリに不可欠な要素です。LSARPC コールを使ってドメインコントローラーからこれらのキーを抽出しようとする、さまざまな攻撃ツールが存在します。Microsoft はこれらのキーをローテーションさせたり、変更したりするためのサポートされたメソッドがないことを認識しています。そこで、ドメインの DPAPI バックアップキーが侵害された場合は、新しいドメイン全体を一から作成することを推奨していますが、これにはコストと時間がかかります。

総当たり攻撃やパスワード類推攻撃では、正しいパスワードが見つかるまで、考えられるすべてのパスワードとパスフレーズを送信してチェックします。

Kerberoasting は、Active Directory サービスアカウントの認証情報を標的にしてオフラインのパスワードクラッキングを行う攻撃手法の 1 つです。この攻撃では、サービスチケットをリクエストした後にサービスアカウントの認証情報をオフラインでクラックして、サービスアカウントのアクセス権を取得しようとします。このKerberoasting 攻撃インジケーターは、Honey アカウントにログイン試行があった場合や、このアカウントにチケットのリクエストが送られた場合にアラートを送信できるよう、Tenable Identity Exposure の Honey アカウントでアラート機能を有効にすることを必要とします。

NTDS 抽出とは、攻撃者が NTDS.dit データベースを取得するために使用する手法のことです。このファイルには、パスワードハッシュや Kerberos キーなどの Active Directory シークレットが格納されます。一度アクセスできれば、攻撃者はこのファイルのコピーをオフラインで解析し、Active Directory の機密性の高いコンテンツを取得するための DCSync 攻撃に代わる手段が使用できるようになります。

重大度の高い CVE-2021-42287 は、標準アカウントからのドメインの権限の昇格につながる可能性があります。この欠陥は、存在しない sAMAccountName 属性を持つオブジェクトを対象とするリクエストの不適切な処理によって生じます。ドル記号 ($) が見つからない場合、ドメインコントローラーは sAMAccountName 値の末尾にドル記号 ($) を自動的に追加します。これによって、標的のコンピューターアカウントのなりすましが生じる可能性があります。

Kerberoasting は、Active Directory サービスアカウントの認証情報を標的にしてオフラインのパスワードクラッキングを行う攻撃手法の 1 つです。この攻撃では、サービスチケットをリクエストした後にサービスアカウントの認証情報をオフラインでクラックして、サービスアカウントのアクセス権を取得しようとします。従来の Kerberoasting 手法は、Kerberoasting IOA によって対応されています。インジケーターの名前でも言及されているように、Kerberoasting 攻撃には、多くの検出をかいくぐることができるステルス性のアプローチを取る手法もあります。高度な攻撃者は、大部分のヒューリスティック検知に見落とされることを期待して、この手法を好む場合があります。

Zerologon と呼ばれる脆弱性は、Microsoft から CVSS / 10.0 スコアを受けた Windows Server の重大な脆弱性 (CVE-2020-1472) と関連しています。それは、攻撃者が Netlogon リモートプロトコル (MS-NRPC) を使用して、ドメインコントローラーへの脆弱な Netlogon セキュアチャネル接続を確立する場合に存在する権限の昇格で構成されています。この脆弱性により、攻撃者がドメインを侵害し、ドメイン管理者権限を取得する可能性があります。

動的オブジェクトと、それに関連する安全でない設定を検出します。

BadSuccessor は、dMSA を悪用する Windows Server 2025 の Active Directory 権限昇格の欠陥であり、攻撃者がアカウントリンクを操作してドメインを侵害する可能性があります。

Exchange リソースに影響を与える、または Exchange グループに割り当てられている、安全でない可能性のあるアクセス許可を特定します。

ドメインサービスアカウントの潜在的な設定ミスを表示します。

管理サービスアカウント (MSAs) がデプロイされ、適切に設定されていることを確認します。

プロパティセットの整合性をチェックし、アクセス許可を検証します

「分散ファイルシステムのレプリケーション」(DFS-R) メカニズムが「ファイルレプリケーションサービス」(FRS) に取って代わったことをチェックします。

ランサムウェアに対する堅牢化の強化策がドメインで実装されているかを確認します。

Active Directory 証明書サービス (AD CS) 公開鍵インフラ (PKI) に関連した、危険なアクセス許可と設定ミスがあるパラメーターをリストします。

ドメインコンピューターに適用されたグループポリシーオブジェクト (GPO) が正常であることを確認します。

ディレクトリインフラのセキュリティを低下させる、機密性の高い特権の設定ミスを特定します。

オブジェクトに弱い証明書マッピングが割り当てられていないことを確認します。

永続化の手段を提供する可能性のある、異常と見なされるスキーマエントリをリストします。

Microsoft Entra Connect アカウントに設定されたアクセス許可が正当なものかどうかを確認します。

一部のドメインコントローラーは、危険なアクセス権限が原因で非管理ユーザーによって管理される可能性があります。

ドメインコントローラーや OU などの機密性の高いコンテナにリンクされている GPO オブジェクトとファイルに割り当てられたアクセス許可が適切かつ安全であることを確認します。

不正ユーザーによる認証情報の窃取につながる、ルートオブジェクトの安全でないアクセス許可がないかを確認します。

セキュリティ対策をバイパスできてしまう可能性がある Windows 2000 以前と互換性のあるアクセスグループのアカウントメンバーについてチェックします。

SID history 属性内の特権 SID を使用するユーザーまたはコンピューターアカウントをチェックします。

ユーザーのプライマリグループが変更されていないことを確認します。

許可されていない Kerberos 委任を確認し、特権ユーザーをその委任から保護します。

推奨期間を過ぎてもパスワードを変更していない KRBTGT アカウントがないかチェックします。

セキュリティに影響するサービスプリンシパル名 (SPN) 属性を持つ高度な特権アカウントを検出します。

ディレクトリインフラのセキュリティを低下させる、間違って設定された信頼関係属性を特定します。

Microsoft は、サードパーティアプリケーションが Microsoft サービスに対してアクションを実行できるようにするため (「アプリケーションのアクセス許可」と呼ばれる)、Entra ID の API を公開しています。特定のアクセス許可は、これらのサービスが保存するユーザーのデータに脅威をもたらす可能性があります。

攻撃者は自己変更可能な属性を操作することで Microsoft Entra ID の動的グループを悪用し、グループメンバーとして攻撃者自身を追加できるようにする可能性があります。この悪意のある操作により、権限昇格や、グループに関連付けられた機密性の高いリソースへの不正アクセスが可能になります。

空のグループがあると、混乱やセキュリティの侵害を引き起こし、リソースが未使用になる可能性があります。一般的には、グループの明確な目的を確立し、関連するメンバーが含まれるようにすることが推奨されます。

悪意のあるフェデレーションドメイン設定は一般的な脅威であり、攻撃者が Entra ID テナントへの認証バックドアとして使用します。既存のフェデレーションドメインと新たに追加されたフェデレーションドメインの検証は、その設定の信頼性と正当性を確認する上で不可欠です。この露出インジケーター (IoE) は、フェデレーションドメインとその関連属性の包括的なリストを提供します。これは、セキュリティステータスに関して情報に基づいた決定を行うのに役立ちます。

Microsoft Entra ID では、フェデレーションを通じて別のプロバイダーに認証を委任することができます。しかし、昇格された権限を持つ攻撃者は、悪意のあるフェデレーションドメインを追加することで永続性と権限昇格を取得し、この機能を悪用することができます。

Microsoft Entra ID ドメインでパスワードの有効期限を強制して、ユーザーにパスワードを変更するように頻繁にプロンプトを出すと、弱いパスワード、予測可能なパスワード、再利用されたパスワードの使用につながり、全体的なアカウント保護が低減し、セキュリティを損なう可能性があります。

Entra ID の特権ユーザーの命名規則は、セキュリティ、標準化、監査コンプライアンスにとって非常に重要であり、管理を容易にします。

ハイブリッドアカウント (Active Directory から同期されたアカウント) が Entra ID の特権ロールを持っていると、AD を侵害した攻撃者が Entra ID にピボットできてしまうので、セキュリティリスクが発生します。Entra ID の特権アカウントは、クラウド専用アカウントでなければなりません。

Entra ID のユーザーは、外部アプリケーションが組織のデータにアクセスすることに独断で同意することができます。攻撃者はこれを「不正な同意付与」攻撃で悪用する可能性があります。アクセスを確認済み発行者に限定するか、管理者の承認を必須とすることで、これを防ぎます。

Entra ID のすべてのカスタムドメインの所有権を確定する必要があります。未検証のドメインは一時的にのみ保持してください。正式なドメインリストを維持管理し、効率的なレビューを行うためには、これらのドメインを検証するか削除してください。

Microsoft は、Entra ID で API を公開して、サードパーティアプリケーションがユーザーの代わりに Microsoft サービスでアクションを実行できるようにしています (「委任されたアクセス許可」と呼ばれます)。特定のアクセス許可は、これらのサービスが保存するユーザーのデータに脅威をもたらす可能性があります。

Entra ID セキュリティの既定値群では、テナントの保護を強化する、Microsoft 推奨の設定が事前設定されています。

ゲストを通常ユーザーと見なすように Entra ID を設定することはお勧めできません。悪意のあるゲストがテナントのリソース全体を偵察する可能性があるからです。

管理対象デバイスの MFA 登録を必須にすると、攻撃者が管理対象デバイスへのアクセス権を持っていない場合は、認証情報が盗まれたとしても、不正な MFA を登録することが難しくなります。

MFA は、弱いパスワードや漏洩したパスワードに対する、強力な保護をアカウントに提供します。セキュリティのベストプラクティスや業界標準では、認証要求が正当な ID 所有者からでない場合など、危険なサインインには MFA を要求することを推奨しています。

MFA は、弱いパスワードや漏洩したパスワードに対する、強力な保護をアカウントに提供します。セキュリティのベストプラクティスや業界標準では、非特権アカウントであっても MFA を有効にすることを推奨しています。MFA 方式を登録していないアカウントはその恩恵を受けることはできません。

使用されたことがない特権ユーザーアカウントは、防御対策による検出から漏れることが多いため、侵害に対して脆弱です。さらに、それらがデフォルトパスワードのままであれば、攻撃者の主要な標的になります。

管理タスクを実行するには別の Entra アカウントを使ってください。1 つを日常に使う標準アカウント、もう 1 つを管理アクティビティにのみ使用する特権アカウントに分けます。このアプローチにより、特権アカウントのアタックサーフェスを減らせます。

リスクのあるユーザーをブロックして、不正アクセスや侵害の可能性を防ぎます。セキュリティのベストプラクティスとして、脆弱なアカウントが Entra ID に認証されないようにするため、条件付きアクセスポリシーを使用することが推奨されています。

デフォルトでは、Entra ID のゲストユーザーの制限されたアクセスは、テナント内のゲストユーザーの可視性を低下させるものですが、これらの制限をさらに強化することでセキュリティとプライバシーを高めることもできます。

フェデレーション署名証明書の異常に長い有効期間は、攻撃者が Entra ID で昇格権限を取得し、フェデレーション信頼メカニズムによってバックドアを仕掛けていることを示している可能性があるため、疑わしいと言えます。

デフォルトでは、Entra ユーザーであれば誰でもテナント内でアプリケーションを登録できます。便利な機能である一方、セキュリティ上の脆弱性というほどではありませんが、一定のリスクを伴います。そのため、ベストプラクティスに従って、Tenable ではこの機能を無効にすることを推奨します。

マルチテナント認証を許可する Entra アプリケーションは、この設定が十分な認識により有効にされておらず、アプリケーションコード内で適切な認証チェックが実装されていない場合、悪意のあるユーザーに不正なアクセス権を付与してしまう可能性があります。

継続的なアクセス評価は、セキュリティポリシーの変更やユーザーステータスの変化への迅速な対応を可能にする Entra ID セキュリティ機能です。このため、無効にしないでください。

Microsoft Entra パスワード保護は、ユーザーが簡単に推測できるパスワードを設定できないようにして、組織のパスワードセキュリティ全体を向上させるセキュリティ機能です。

Entra ID に保存されている Microsoft 365 グループは、パブリックまたはプライベートのいずれかになります。テナント内のいずれのユーザーも、パブリックグループに参加して、そのデータ (チームチャット/ファイル、メールなど) にアクセスできるため、パブリックグループにはセキュリティリスクが生じます。