Active Directory が攻撃者に狙われている: ファイブアイズが重大なセキュリティギャップに対するガイダンスを発表
サイバーセキュリティ機関による重要な国際報告書において Microsoft Active Directory に対する 17 の攻撃手法が取り上げられ、組織に対して保護を強化するよう警告が出されました。 2 回シリーズの前編では、AD の防御を強化するために今日から実行できる 5 つのステップを紹介します。
Microsoft の Active Directory (AD) は世界中の組織で ID およびアクセス管理 (IAM) の中核を担っているため、サイバー攻撃者にとって魅力的な標的となっています。 オーストラリア、カナダ、ニュージーランド、英国、米国のサイバーセキュリティ機関は、AD 侵害のリスクを懸念して「Detecting and Mitigating Active Directory Compromises (Active Directory 侵害の検出と軽減)」と題した重要な報告書を発表しました。 9 月に発表されたこの報告書では、Kerberoasting攻撃からゴールデンチケット攻撃まで、17 の攻撃手法の詳細について述べられています。これらの攻撃を検出できないでいると、攻撃者にシステムを完全に制御されてしまうこともあります。
2 回シリーズの前編では、上記の報告書による AD 侵害を検出して軽減するためのガイダンスのさらに先を見据え、組織が動的な事前対策型の AD サイバーセキュリティ戦略を確立する方法について探ります。 継続的な監視、適応型の防御、リスクに基づく優先順位付けが、セキュリティリーダーが AD インフラを保護するうえでどのように役立つかについて説明します。 そして、アイデンティティセキュリティ戦略を実際に運用するために活用できる 5 つの項目を提案します。
後編では、基本的な事柄にとどまらず、取り組む価値のあるその他の AD エクスポージャーの領域について、インサイトとガイダンスを提供します。
攻撃者は AD をゲートウェイとみなす
AD はほとんどの組織で認証と承認のバックボーンとなっており、機密データと重要システムへのアクセスを制御しています。 アイデンティティは企業にとって現代のコントロールプレーンとなっており、攻撃者は AD 侵害が情報と制御の宝庫への入り口になることを知っています。 Storm-0501 による攻撃や Conti ランサムウェアのような有名な攻撃は、AD セキュリティが侵害された場合には財務上および業務上の壊滅的な影響がもたらされることを示しています。
まとめてファイブアイズ同盟と呼ばれる複数のサイバー機関が発表した報告書は、単なるコンプライアンスのチェックリストではないということに留意する必要があります。 このようなサイバーセキュリティのガイダンスに対して、一連の単発的な対応を取り、いくつかのボックスにチェックを入れることで永続的なセキュリティが確保されると考えている組織をたいへん多く目にします。
現実には、攻撃者は脆弱性が発生するとすぐにそれを悪用します。 ポイントインタイムのコンプライアンス対策では、現代のサイバー脅威の適応力に追いつくことはできません。 一歩先を行くためには、組織はコンプライアンスの取り組みを超えて、リアルタイムでリスクを予測して軽減する継続的な適応型のアプローチを採用し、進化する脅威に対して AD の安全を確保しなければなりません。
インサイトから行動へ: 報告書の推奨事項を実際に運用可能にする
サイバーセキュリティ機関による上記のガイダンスでは、 Active Directory は「一度設定すればそれでよい」システムではないことが明確に述べられています。
AD 環境は新しいユーザー、権限の更新、クラウド統合の拡大などによって継続的に進化していくため、サイバーセキュリティ戦略もそれに合わせて進化させる必要があります。 設定ミスやアイデンティティベースの脆弱性はそのままの状態にとどまることはなく、リスクへの新たな入り口を作ってしまいます。 これこそが、組織が AD を管理するために、継続的な監視、リスクに基づいた優先順位付け、脅威の移り変わりに対応する適応型のセキュリティ対策などの構造化されたリアルタイムのアプローチを採用しなければならない理由です。
報告書のガイダンスを実際に運用可能にするためには、静的なポイントインタイムの技術的修正だけでは足りません。 AD を安全に保つためには、大きな変革をもたらすような一連のステップが求められます。
以下では、報告書のガイダンスを実行可能なステップへと変換するにあたり、注目するべき 5 つの主要分野をご紹介します。
1. リアルタイムの可視化により継続的な監視を実施する
組織はしばしば AD が静的なシステムであり、一度設定すれば安全だという前提があるかのように行動します。 しかし、ファイブアイズによる報告書が示すように AD は常に流動的であり、変化のたびに新たな脆弱性が生まれる可能性があります。 新規の人材採用や権限の更新からクラウド接続の拡大まで、AD のあらゆる変化が攻撃者のために目に見えない侵入口を作る可能性があるのです。 リアルタイムの可視化と継続的な監視は、進化するリスクに先んじるために実施するべきステップです。
重要である理由
攻撃者は、わずかな設定ミスや気づかれずに生じている権限ドリフトのような隠れた弱点を巧みに利用し、DCSync や Kerberoasting のような手口を悪用してシステムに静かに侵入します。 リアルタイムの監視がなければ、こうした手口は発見されないままになります。 だからこそ、アイデンティティの弱点が表面化したらすぐに特定し、優先順位をつけることが不可欠なのです。リスクを早期に捕捉することで、攻撃者を食い止めることができます。
取るべき対策
- 監視を自動化する: AD の変更に対してリアルタイムのアラートをトリガーするツールを導入し、予期しない権限昇格、リスクの高い権限の移行、積極的な侵害の試みを示す可能性のあるサービスアカウントの変更にフラグを立てます。
- 有害な組み合わせを検出する: セキュリティチームは継続的な監視によって、脆弱なパスワードと組み合わされた高度な権限や、重複した権限を持つアカウントなどといった、権限と設定ミスの危険な組み合わせを悪用される前に発見することができます。
- 即時の修正を実施する: リスクの高い変更が検出された場合に、直ちに対応するためのプロセスを確立します。 過剰なアクセス権限を無効化したり、設定をリアルタイムで調整したりする機能により、攻撃者が行動をエスカレートさせる機会を大幅に制限できます。
2. リスクベースの優先順位付けを自動化する
Active Directory のすべての弱点が同じレベルのリスクを持つわけではありません。それぞれの問題を同じ優先順位で扱っていては、重大なエクスポージャーに対応できないままリソースが枯渇してしまいます。 リスクベースのモデルでは、AD の弱点に自動的に優先順位が付けられるため、セキュリティチームはリスクの低い問題に振り回されることなく最も重要なエクスポージャーに集中できます。
重要である理由
ファイブアイズの報告書で取り上げられた 17 の攻撃手法の中には、DCSync のように従来のインフラのほうにより重大な危機をもたらす手法もあれば、パスワードスプレーのようにクラウドを多用する環境のほうにより高いリスクをもたらす手法もあります。 自動化されたリスクのスコア付けを利用して、組織独自の設定に合わせて優先順位付けを行えば、影響の大きい脅威に迅速に対処できるようになります。
取るべき対策
- 動的なリスクスコア付けに重点を置く: 脆弱性を継続的に評価してランク付けするツールを活用し、エクスポージャーレベル、権限昇格リスク、既知の攻撃手法によって優先順位をつけます。 最も悪用されやすいリスクをピンポイントで特定すれば、チームは焦点を絞って対応できるようになり、重大なエクスポージャーが気づかれないまま放置されることがなくなります。
- 潜在的な攻撃経路をマッピングする: 重要な資産への攻撃経路を可視化することで、どの弱点が狙われやすいかをピンポイントで特定し、チームが効果的にリソースを配分できるようになります。
- 自組織の環境に合わせて優先順位をつける: オンプレミス、クラウドベース、ハイブリッドなど特定のインフラに合わせて優先順位を調整することで、組織固有の環境で最もリスクの高いエクスポージャーに最初に対処できるようになります。
3. 最小権限アクセスにより運用の回復力を築く
回復力のある Active Directory 環境は、最小権限アクセスの適用を基盤としており、役割の遂行に必要な権限のみがユーザーに付与されます。 しかし、グループメンバーの変更、ロールの調整、すぐに取り消されない緊急のアクセス権限などの変化を通じて、時間の経過とともに権限が意図せず拡大することがあります。 過剰な権限はラテラルムーブメントや権限昇格を容易にするため、この「権限のずれ」によって攻撃者が悪用できるアタックサーフェスが拡大します。
重要である理由
Active Directory の過剰なアクセス権限は、攻撃者が不正アクセスのために Kerberos チケットを偽造するシルバーチケット攻撃などの様々な攻撃手法を可能にしてしまいます。 最小権限の適用が行われていない場合、攻撃者が過剰な権限を持つアカウントを悪用してラテラルムーブメントを行い、検出されずに機密リソースにアクセスするおそれがあります。 こうした攻撃やその他の AD ベースのサイバー攻撃を防ぐには、適切な権限管理が不可欠です。
取るべき対策
- 毎月の自動スキャンを実施する:これにより、過剰な権限や許可を持つアカウントを特定し、すぐに確認するためのフラグを立てることができます。
- ロールベースの権限テンプレートを使用する:これにより、アカウント間のアクセス権限を標準化し、必要な権限のみが付与されるようにできます。
- 24 時間での取り消しポリシーを適用する:これにより、一時的なアクセス権限や緊急時のアクセス権限が制限され、潜在的な攻撃経路が迅速に遮断されます。
- サービスアカウントを定期的に監査する:サービスプロバイダーの定期的な「健康診断」を行うことで、サービスプロバイダーの特権が職務内容と一致していること、攻撃者に余計な特権を提供していないことを確認できます。
4. 予防的なマインドセットで成功の舞台を整える
セキュリティに対するあなたのマインドセットが、AD の安全を確保するための土台となります。インシデントが起きた後での対応は痛みを伴うことを、誰もが知っています。潜在的な脅威を事前に特定し、対処するチャンスがあった場合にはなおさらです。ファイブアイズのガイダンスの本質は、「先行的であれ」ということです。 露出インジケーター (IoE) を理解し、初期の警告サインを探すことで、チームは脆弱性が攻撃者のネットワークへの足がかりとされる前に対応できるようになります。
重要である理由
事後対応的なアプローチでは、セキュリティチームは常に遅れを取り戻さなければならない状態に陥り、根本原因の排除ではなくインシデントが発生してからの対処を行うことになります。 IoE に注目することで、攻撃者が環境に侵入するために悪用する経路を体系的に遮断することができます。 また、セキュリティチームは、アラート疲れを悪化させることなく防御の範囲を広げられるようになります。 これは、短期的な修正よりも長期的な回復力を優先する、より広範なセキュリティ戦略であると言えます。
取るべき対策
- 侵害を想定した取り組みを行う: あらゆる脆弱性を潜在的な侵入口として扱い、重要資産の周辺のエクスポージャーギャップを監視します。
- IoE に注目する: 設定ミスや通常と異なる権限変更などのリスクの兆候を早期に特定し、追跡します。 侵害が起こってから発見するよりも、未然に防ぐほうがより有効です。
- 防御を実戦形式でテストする:レッドチームは攻撃を本気で行ってください。ただ防御するだけではない、圧迫的なテストを行います。 最高の防衛者とは、攻撃を受けたことがない者ではなく、実際の、または模擬的な侵入の試みすべてから学んだ者なのです。
- 検出と対応のプロセスを継続的に調整する: 検出と対応の戦略の俊敏性を保ち、進化する脅威状況に適応できるようにします。
5. 企業全体にわたりスケーラブルで統一されたセキュリティ運用を確実に実施する
企業規模の拡大により、サイバーセキュリティチームはドメイン、資産、アイデンティティのそれぞれが複雑な層をなして重なりあう無秩序な状況に直面しています。 共有されたインサイトとツールによる統一されたアプローチでセキュリティが一丸となったとき、効率性が生まれ、ギャップが埋まります。 セキュリティの拡大には、アイデンティティ管理、資産の可視化、脅威の検出を単一の一元化されたフレームワークにシームレスに統合して一貫したセキュリティの実践を保証する、まとまりのある戦略が必要です。
重要である理由
一元化されていないと、災いを招きます。データを正規化して理解の共有を促進するプラットフォームがなければ、チームの作業はサイロ化してカバレッジのギャップが広がり、重要な資産が脆弱なままになってしまいます。 複雑なマルチドメイン環境では、統合されたスケーラブルなプラットフォームによって培われた一元的なアプローチによって、サイバー脅威に迅速かつ協調的に対応することが不可欠です。 このようなギャップを埋めることで組織は包括的な監視を維持できるようになるため、チームは組織全体で一貫したセキュリティを確保しながら規模の拡大に歩調を合わせることができます。
取るべき対策
- AD の監視をより広範な IT 運用と統合する: 統合プラットフォームを通じて、AD セキュリティの監視をその他の IT 機能と連携させます。 これにより、クラウドベースかオンプレミスかにかかわらず、すべてのドメインを一元的に監視できます。
- IAM を合理化する: すべての環境でアイデンティティの一貫した管理を行うために一元化された IAM ソリューションを導入することで、孤立したアカウントや一貫性のない権限などのリスクを低減します。
- ポリシーの適用を自動化する: 自動化を使用してすべてのドメインにセキュリティポリシーを適用し、インフラの変更に合わせてリアルタイムで調整を実施してベストプラクティスを遵守します。
- 部門を超えた連携を可能にする: IT、セキュリティ、運用の各チーム間の連携を促進することで、サイロが打破され、迅速な対応とより良い情報共有が可能になります。
次回: 包括的なADセキュリティのためのその他の考慮事項
以上の 5 つのステップは、ファイブアイズのガイダンスを運用可能にするための強固な土台となります。 しかし、そこで立ち止まってしまうと、セキュリティ戦略を強化して適応させるための重要な検討事項を見逃すことになります。 本シリーズの後編では、基本的な事柄にとどまらず、完全なカバレッジや、最新の攻撃手法への対処や、包括的なアイデンティティセキュリティのアプローチの一環としての Active Directory と Entra ID の保護を達成するためのガイダンスを提供します。
もっと詳しく
Brinton Taylor
Senior Technical Product Marketing Manager, Identity
Brinton Taylor はサイバーセキュリティの専門知識を持つシニアプロダクトマーケティングリーダーで、アイデンティティエクスポージャーとオペレーショナルテクノロジーのセキュリティを専門としています。 Tenable Identity Exposure や Tenable One プラットフォームなどの Tenable の革新的なソリューションについての理解を促進する戦略の策定と実行において、Brinton は Tenable で重要な役割を果たしています。 また、複雑なセキュリティ上の課題の管理や多様なサイバーセキュリティチームとの協働を行ってきた経歴を持ち、組織が進化を続けるセキュリティ状況を事前対策型のリスクベースのアプローチで乗り切るための支援に尽力しています。 Brinton はチームと顧客のために情熱を注いでおり、技術的なインサイトと戦略的なビジョンを組み合わせることで、業界をリードする影響力の大きなセキュリティソリューションを利用できるようにしています。
関連記事
Abusing Client-Side Extensions (CSE): A Backdoor into Your AD Environment
Crucial for applying Active Directory Group Policy Objects, client-side extensions (CSEs) are powerful but also present a significant, often overlooked, attack vector for persistent backdoors. Rather than cover well-documented common abuses of built-in CSEs, this article demonstrates how to create…
How Identity Plays a Part in 5 Stages of a Cyber Attack
While credential abuse is a primary initial access vector, identity compromise plays a key role in most stages of a cyber attack. Here’s what you need to know — and how Tenable can help.
Identity Security Is the Missing Link To Combatting Advanced OT Threats
Sophisticated OT threats, like living-off-the-land (LotL) attacks, exploit identity vulnerabilities to infiltrate critical infrastructure. Find out how robust identity security and unified exposure management can help you detect, prioritize and mitigate risks across IT and OT environments.
- Active Directory
- Exposure Management