5 つのサイバーセキュリティ機関が Active Directory に対する攻撃について警告
重要な国際報告書において Microsoft Active Directory に対する 17 の攻撃手法が取り上げられ、組織に対して保護を強化するよう警告が出されました。 2 回シリーズの後編では、基本事項にとどまらず、焦点を当てるべき 3 つの重要な分野を取り上げます。
オーストラリア、カナダ、ニュージーランド、英国、米国のサイバーセキュリティ機関が 9 月に発表した重要な報告書「Detecting and Mitigating Active Directory Compromises (Active Directory 侵害の検出と軽減)」では、ID およびアクセス管理 (IAM) システムがサイバー攻撃者に狙われた場合に組織が直面するリスクに光を当てています。
2 回シリーズの前編の記事では、報告書の調査結果を実際に運用可能にし、Microsoft Active Directory (AD) インフラを保護するサイバーセキュリティ戦略を策定するために組織が取るべき 5 つのステップについて説明しました。 これらのステップは重要ではありますが、そこで立ち止まってしまえば、セキュリティ戦略をさらに強化するための重要な検討事項を見逃してしまいます。
この後編では、基本的な事柄にとどまらず、完全なカバレッジ、最新の攻撃手法への対応、Active Directory とそのクラウド版にあたる Entra ID (旧 Azure AD) の保護を達成するために包括的なアイデンティティセキュリティのアプローチの一環としてサイバーセキュリティ担当リーダーが検討できる 3 つの主要分野について解説します。
1. ハイブリッド環境に Active Directory の完全なカバレッジを実装する
基本的な AD 評価ツールは貴重なインサイトを提供してくれますが、オンプレミスの AD とクラウドのアイデンティティが混在する現代のハイブリッド環境には不十分です。 ポイントインタイムのスキャンでは Kerberoasting、DCSync、パスワードスプレーなどのアクティブな脅威が見逃される危険性があります。これらは、サイバー攻撃者が定期的なチェックを回避するために繰り返し実行する可能性のある手法です。
完全なカバレッジが重要である理由
- 古典的な AD の脅威が依然として存在: AD 認証とレプリケーションを標的にした従来型の攻撃は攻撃者にとって依然として強力な武器であり、常に警戒する必要があります。
- アイデンティティの一元的な監視: 最新の環境では、オンプレミスの AD とクラウドサービスが同期されます。 どちらかのドメインに変更があれば、もう一方のドメインに脆弱性が生じる可能性があるため、一元化された可視性が求められます。
- 環境をまたぐリスク: 攻撃者は、古典的な AD の悪用とクラウドサービスへの攻撃を組み合わせています。 監視のためには、この拡大したアタックサーフェス全体にわたって権限と設定を追跡することが不可欠です。
- リアルタイムの対応: 効果的なセキュリティのためには、同期されたアカウントに対するパスワードスプレー攻撃から特権をもつ認証情報の盗難まで、ハイブリッドな脅威を即座に可視化する必要があります。
取るべき対策
- 一元的な監視を可能にする: AD と Entra ID の両方で継続的な可視性を提供するツールを使用して、シームレスな監視を維持しながら、どこで発生した脅威でも捕捉できるようにします。
- 主要な脅威のアラートを設定する: 不審なアクティビティに即座に対応するために、Kerberoasting や DCSync のような脅威、特に同期されたアカウントに対する自動アラートを設定します。
- 権限のマッピングと確認を行う AD と Entra ID の権限を定期的に監査し、攻撃者が悪用する可能性のあるギャップや設定ミスを発見します。
- 多要素認証 (MFA) と条件付きアクセスを適用する: MFA と適応型ポリシーによって高度な権限を持つアカウントを強化し、2 つの環境にわたるリスクシグナルに合わせたアクセス制御を行います。
2. 最新の攻撃手法に対応する
まとめてファイブアイズ同盟と呼ばれる 5 つのサイバーセキュリティ機関による報告書では 17 種類の AD 侵害手法が取り上げられていますが、これらは最も一般的な手口を挙げたにすぎません。 攻撃者がそれほど単純であってくれればありがたいのですが、そうは問屋が卸しません。攻撃者のアプローチでは、Entra ID、SaaS (サービスとしてのソフトウェア) アプリケーション、ハイブリッドクラウドと AD との連携も悪用されます。 安全を維持するためには、組織は静的な手法にとどまらず、現代の動的な脅威状況に適応する必要があります。
最新の状況への対応が重要である理由
既知の手法だけに注目していては、AD の複雑な統合を活用して標準的な手口から外れた手法を開発し、深刻なリスクをもたらす現代の攻撃者に、いろいろなものを与えてしまいかねません。 包括的な適応型のセキュリティアプローチにより、チームは既存の脅威と進化する脅威の両方に対抗できるようになります。
取るべき対策
- 脅威モデルを更新する: 自組織のネットワークに関連する新しい高度な手法が含まれるよう、脅威評価を適応させます。
- 事前対策型の文化を育む: 進化する脅威と柔軟な対応のアプローチに関する教育を奨励します。
- リアルタイムの脅威インテリジェンスを利用する: リアルタイムのインサイトを統合し、新たな手法を検出して対応します。
3. Entra ID を見逃さない
ファイブアイズの報告書ではオンプレミスの Active Directory における侵害に焦点を当てていますが、組織がクラウドへの拡大を進めている中では Entra ID のようなクラウドベースのディレクトリサービスを保護することも同様に重要です。 最近の侵害事例が示すように、攻撃者はオンプレミスの AD とクラウドベースのディレクトリを行き来して影響を最大化しようとする傾向を強めています。 ハイブリッド環境では、攻撃者が AD と Entra ID の間のギャップを利用して、一方のシステムのみをカバーしている防御をバイパスすることがよくあります。 ディレクトリのインフラを、玄関ドアが 2 つある家だと考えてください。一方だけを保護していたら、もう一方は危険にさらされたままになります。 現代の企業には、攻撃者によるオンプレミスとクラウドの防御の不整合の悪用を防ぐために AD と Entra ID の一元的なセキュリティ監視が欠かせません。 アイデンティティセキュリティ戦略の強固さは、最も脆弱なディレクトリに左右されてしまうのです。
AD と Entra ID 両方の保護が重要である理由
- 環境をまたぐ一貫したカバレッジ: 組織がハイブリッド環境の採用を進めるにつれて、オンプレミスの IAM システムとクラウドベースの IAM システムの分離による潜在的なギャップが生じています。 オンプレミスからクラウドへの移行においては、攻撃者が弱点を見つけるのを防ぐために、両者をカバーする統一されたセキュリティが必要です。
- アイデンティティセキュリティ戦略の強化: 攻撃者はアイデンティティを最初の侵入口として狙っています。 AD と Entra ID を相互依存しているシステムとして扱うことで、脅威がどこから発生したかに関係なく、アイデンティティのフレームワーク全体が回復力を持つようになります。
取るべき対策
- 適応型のアクセス制御を設定する:条件付きアクセスポリシーを使用してユーザーのリスクをリアルタイムで評価し、リスクの高いログインの試みを自動的にブロックします。
- サードパーティのアクセスを監視する:サードパーティ製アプリに付与された権限を定期的に見直して管理することで、許可されていないアプリやシャドー IT を早期に発見します。
- 最小権限と OAuth の制限を徹底する:OAuth の権限を必要不可欠なものに制限し、過剰な権限を持つアカウントを特定することで、クラウド環境と AD 環境の全体で最小権限を維持します。
- リアルタイムのアイデンティティ脅威検出を可能にする:不審なアクティビティに対して MFA をトリガーしたりアクセスをブロックしたりするなど、リスクのあるログインに即座に対応するアイデンティティ保護ポリシーを設定します。
- ポリシーを継続的に監査し、調整する: 条件付きアクセス権限とサードパーティの権限を定期的に評価し、アイデンティティセキュリティ戦略を進化する脅威に対応させます。
まとめ: アイデンティティを重視した継続的なセキュリティの採用
Active Directory の侵害は、依然として攻撃者による攻撃の焦点となっています。 ファイブアイズによる報告書は、その継続的な関連性を強調して、アイデンティティがサイバーエクスポージャー管理における現代のコントロールプレーンとなっている理由を明らかにしています。 報告書のガイダンスを確認する際には、それが新たなチェックリストとなることを避けなくてはなりません。 AD セキュリティに対する自組織の取り組み方を、今一度考えてみてください。 「継続的な監視、リスクベースの優先順位付け、最小権限アクセス、統合されたオペレーションを実施しているか?」、「コンプライアンスを自然に実現するアイデンティティ重視のセキュリティアプローチを採用しているか? 」、「オンプレミスの AD と Entra ID の保護を統合して、攻撃者が悪用するギャップを埋めているか?」などです。
もっと詳しく
Brinton Taylor
Senior Technical Product Marketing Manager, Identity
Brinton Taylor はサイバーセキュリティの専門知識を持つシニアプロダクトマーケティングリーダーで、アイデンティティエクスポージャーとオペレーショナルテクノロジーのセキュリティを専門としています。 Tenable Identity Exposure や Tenable One プラットフォームなどの Tenable の革新的なソリューションについての理解を促進する戦略の策定と実行において、Brinton は Tenable で重要な役割を果たしています。 また、複雑なセキュリティ上の課題の管理や多様なサイバーセキュリティチームとの協働を行ってきた経歴を持ち、組織が進化を続けるセキュリティ状況を事前対策型のリスクベースのアプローチで乗り切るための支援に尽力しています。 Brinton はチームと顧客のために情熱を注いでおり、技術的なインサイトと戦略的なビジョンを組み合わせることで、業界をリードする影響力の大きなセキュリティソリューションを利用できるようにしています。
関連記事
Abusing Client-Side Extensions (CSE): A Backdoor into Your AD Environment
Crucial for applying Active Directory Group Policy Objects, client-side extensions (CSEs) are powerful but also present a significant, often overlooked, attack vector for persistent backdoors. Rather than cover well-documented common abuses of built-in CSEs, this article demonstrates how to create c...
How Identity Plays a Part in 5 Stages of a Cyber Attack
While credential abuse is a primary initial access vector, identity compromise plays a key role in most stages of a cyber attack. Here’s what you need to know — and how Tenable can help....
Identity Security Is the Missing Link To Combatting Advanced OT Threats
Sophisticated OT threats, like living-off-the-land (LotL) attacks, exploit identity vulnerabilities to infiltrate critical infrastructure. Find out how robust identity security and unified exposure management can help you detect, prioritize and mitigate risks across IT and OT environments....
- Active Directory
- Exposure Management
- Active Directory
- Exposure Management