サイバー攻撃の 5 つの段階におけるアイデンティティの役割
認証情報の悪用は主要な初期アクセス手法である一方、アイデンティティの侵害はサイバー攻撃のほぼすべての段階で重要な役割を果たします。 このブログでは、必要な情報と Tenable がお役に立てる内容をご紹介します。
アイデンティティ侵害は、攻撃者が組織内でラテラルムーブメントを行う際に極めて重要な役割を果たします。 「Verizon 2025 Data Breach Investigations Report (2025 年データ漏洩調査報告書)」によると、初期アクセス手法として最も多いのは認証情報の悪用で、侵害の 22% を占めており、脆弱性の悪用 (20%) がそれに続いています。 ただし、アイデンティティ侵害は初期アクセスだけで終わるわけではなく、 サイバー攻撃の 5 つの段階で重要な役割を果たします。
以下に挙げる攻撃の各段階を理解すると、アイデンティティが脅威となるポイントの明確化に役立ちます。
- 初期アクセス
- 偵察
- ラテラルムーブメントと権限昇格
- 持続性と防御回避
- デプロイメント
以下では、各段階においてアイデンティティ保護のためにセキュリティ部門が実施できる対策について紹介します。 ここで紹介するガイダンスでは、オンプレミスの Microsoft Active Directory 環境の保護を前提としています。それ以外に、認証情報の漏洩が Microsoft Entra ID やハイブリッドのアイデンティティのインフラに与える影響についても考慮するべきでしょう。 また、Tenable One サイバーエクスポージャー管理プラットフォームで利用可能な Tenable Identity Exposure を各段階でどのように利用すれば、セキュリティ部門に、サイバー攻撃へのエクスポージャーを未然に削減するための貴重なインサイトを提供できるかについても説明します。
段階 1: 初期アクセス
攻撃者は、必要とする足掛かりを認証情報の不正利用で獲得できます。 認証情報が攻撃者に悪用されるのを防ぐために、組織はユーザーが 2 要素認証 (2FA) や多要素認証 (MFA) を、強力なパスワードと組み合わせて使用していることを事前に確認する必要があります。 これは、組織のユーザーが遵守すべきパスワードの複雑さ、長さ、再利用、変更頻度に関するポリシーを適用することで実現します。 そうであっても、ポリシーの適用を担当するセキュリティ部門にとってアイデンティティの完全な可視化は難しい場合があります。
Tenable Identity Exposure が提供する以下のインジケーターを使用すると、セキュリティ部門は、弱点が存在する可能性のある領域を可視化できます。
段階 2: 偵察
攻撃者は、環境へのアクセスを果たすとラテラルムーブメントや権限昇格という次のステップに進むため、その環境の構造を理解して設定や脆弱性をどのように悪用するべきか把握する必要があります。 攻撃者が環境を可視化する際に利用できる、正規のセキュリティツールは多数あります。 そういったツールが環境に対して不正に使用されると、重要な機密情報が漏洩し、環境内の移動に利用される可能性があります。
Tenable Identity Exposure が提供する攻撃インジケーターを使うと、セキュリティ部門は、セキュリティツールが環境内で実行されているようにみえる挙動を可視化できます。それが意図されたものでない場合、悪意のある挙動の可能性があります。 これらのインジケーターを以下に示します。
段階 3: ラテラルムーブメントと権限昇格
偵察を終えた攻撃者は、その情報を利用して環境内のオブジェクト間を移動し、攻撃を進めるために必要な特権資産へのアクセスを試みます。 手段は、 関係性の悪用です。 そのために、攻撃者は特権ユーザー認証情報をキャッシュしているシステムへのアクセスや、環境内の別のアイデンティティのパスワードのリセットを試みる可能性があります。 このようなアクティビティを防止するには、特定のシステムにログオンできるユーザーを制限するポリシーを適用すること、可能な限りパスワードのキャッシュを防止すること、オブジェクト間の不要な関係性を解除することが必要です。 Tenable Identity Exposure が提供するインジケーターを利用すると、セキュリティ部門は制限を管理し、不整合を検出できます。
Tenable なら、攻撃経路のアイデンティティオブジェクト間の関係もグラフィカルに表現できます。
段階 4: 持続性と防御回避
攻撃者にとって、ラテラルムーブメントのもう一つの重要な目的は、環境への持続的なアクセスを確保しつつ、検出を回避できるような位置を保持することです。 Active Directory などのアイデンティティソリューションには、その複雑性と要件により、悪用できるバックドア手法が数多く存在します。 その中の 1 つであまり知られていないのが AdminSDHolder コンテナの悪用です。 このコンテナ (Active Directory ではデフォルトで非表示) にアイデンティティが追加されると、そのアイデンティティに、ドメイン管理者など高度な権限を持つグループへのアクセス権が定期的に付与されます。 このアクセス権は SDProp プロセスを通じて付与され、デフォルトで 60 分ごとの実行がスケジュールされています。 そのため、権限を持つグループから直接にアクセス権を削除しても、1 時間後に AdminSDHolder のアクセスが許可されると、SDProp プロセスによって再度付与されてしまいます。 Tenable Identity Exposure には、AdminSDHolder のメンバーシップを常に可視化する以下のインジケーターがあります。
市場には、ポイントインタイムの評価を実行して対処が必要な弱点を特定できるセキュリティツールが数多く存在します。ただし多くの場合、そのデータはフィルタリング可能な履歴を含まない、単一のレポートで提供されます。 アイデンティティの動的な性質を考えると、ポイントインタイム評価ではセキュリティ部門の可視性にギャップが生じます。 攻撃者はこのギャップを利用して、自分達のアクティビティを容易にするために環境に変更を加えた後、次のポイントインタイム評価の実行前に変更を元に戻してしまいます。そのため、セキュリティ部門に悟られることはありません。 最も効果的な対策は、アイデンティティ構成を常に監視して、すべての変更をフィルタリング可能で参照可能な形で記録することです。
Tenable Identity Exposure は Active Directory を継続的に監視するうえ、以下のインジケーターはまさにこの目的のためのイベントフローを提供します。
段階 5: デプロイメント
最後に、悪質なコード、マルウェア、ランサムウェアなどのペイロードのデプロイメントが行われます。 そのためには、攻撃者が PowerShell スクリプトなど何らかのスクリプトやインストーラを実行する必要があります。 その実行を防ぐために、セキュリティポリシーで制限を設けることでリスクを大幅に削減できます。
Tenable Identity Exposure は、特にランサムウェアに関連する以下のインジケーターを提供します。これは、PowerShell スクリプトの実行や AppLocker へのアクセスが制限されている環境内の領域について、セキュリティ部門が監視できるようにするためです。
全体像
以上をまとめると、サイバー攻撃の 5 つの段階それぞれにおいて、アイデンティティがいかに中心的な役割を担っているかがわかります。 上記の例ではオンプレミスの Active Directory を取り上げましたが、Storm-0501 による 2024 年の攻撃のように、ハイブリッド環境も攻撃者の標的になっています。 Tenable One サイバーエクスポージャー管理プラットフォームで利用可能な Tenable Identity Exposure は、Active Directory と Entra ID の両方を可視化します。Tenable Cloud Security は、Ping Identity や Okta などのパブリッククラウドプロバイダーやアイデンティティプロバイダー (IdP) 内のアイデンティティ権限についても包括的に可視化します。
アイデンティティセキュリティは、事前対策型のエクスポージャー管理プログラムの基本となります。 エクスポージャー管理を効果的に実現するには、アタックサーフェス全体を包括的に把握することが不可欠です。 そのためには、アイデンティティ、アプリケーション、クラウド、ID、オペレーショナルテクノロジー (OT)、エンドポイント、資産インベントリ、設定管理データベース (CMDB)、脅威インテリジェンスフィードなど、さまざまなセキュリティツールから得られるデータを一元的に集約する必要があります。 これら多様なデータソースから得たインサイトを組み合わせることで、セキュリティチームは資産、脆弱性、設定ミス、既存の代替対策など、複数の環境にまたがる情報をつなぎ合わせ、より大きな視野でリスクを把握できます。Tenable One サイバーエクスポージャー管理プラットフォームは、リスクに優先順位を付けて一元的に表示します。 このように、データサイロを解消し、複数のセキュリティツールから得られるインサイトを統合することで、組織は侵害リスクを低減し、アタックサーフェス全体でのリスクエクスポージャーを最小限に抑えることができます。リスクを個別に見るのではなく、つながりを把握し、攻撃者が環境をどう見ているかを理解することで、より賢明かつ予防的な対策が可能になります。
もっと詳しく
Tony Archer
Tenable、アイデンティティエクスポージャー担当セキュリティエンジニア
Tony Archer はセキュリティエンジニアで、現在は Tenable Identity Exposure を専門としています。 25 年以上にわたり民間企業、教育機関、公的機関でさまざまな IT 分野に携わってきました。 Tenable には 5 年以上在籍しており、そのうち 3 年以上は Tenable Identity Security に取り組んできました。
関連記事
Abusing Client-Side Extensions (CSE): A Backdoor into Your AD Environment
Crucial for applying Active Directory Group Policy Objects, client-side extensions (CSEs) are powerful but also present a significant, often overlooked, attack vector for persistent backdoors. Rather than cover well-documented common abuses of built-in CSEs, this article demonstrates how to create c...
Identity Security Is the Missing Link To Combatting Advanced OT Threats
Sophisticated OT threats, like living-off-the-land (LotL) attacks, exploit identity vulnerabilities to infiltrate critical infrastructure. Find out how robust identity security and unified exposure management can help you detect, prioritize and mitigate risks across IT and OT environments....
Identity Is the New Battleground: Why Proactive Security Is the Way Forward
Protecting identities has become a top priority for security teams. However, many organizations remain exposed due to blind spots caused by identity sprawl and misplaced trust in identity providers. This blog explores why traditional security measures fall short, how AI-driven attackers are escalati...
- Exposure Management
- Active Directory
- Exposure Management