Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Tenable ブログ

ブログ通知を受信する

Nessus の最新情報: Active Directory の 10 件の設定ミスを検出して修正

Active Directory はサイバー犯罪者に頻繁に標的とされています。更新された Nessus スキャンエンジンで攻撃経路をなくしましょう。

Active Directory (AD) は、過去 20 年間、あらゆる組織で主要な ID およびアクセス管理ソリューションとして利用されています。本製品の寿命はかなり長く、最初のリリース以来、根本的に進化していません。

Active Directory の安定性は称賛に値するもので、Global Fortune 1000 企業の 90% は Active Directory を使用して、堅牢な基盤に根ざした長期的な認証・承認戦略を実装できるようになりました。

しかしながら、この安定性のためサーバー犯罪者は Active Directory を標的とする外部と内部からの攻撃を長期に渡って設計・開発することができました。ほとんどの組織は何年も前に AD の実装を設計したまま、現在の脅威に対するセキュリティ対策を行っていないため、状況はますます複雑になっています。

現在、Active Directory はサイバー犯罪者に頻繁に標的とされています

ニュースで報道されような侵害または重要なインフラストラクチャを破壊するランサムウェア攻撃の背後には、AD の設定ミスがあります。攻撃の全てが、AD の脆弱性を突いたものというわけではありませんが、大半の攻撃では攻撃者はパストラバーサル手法を使用して、重要な管理者権限を取得します。

サイバー犯罪は社会的な基盤を脅かす脅威です。現実の脅威に対して効果的なセキュリティ対策で防衛できるように、すべての組織は、AD のセキュリティの状態について直ちに通知される必要があります。

そのために、Tenable は Alsid 社を買収しTenable.ad をリリースしました。AD はシングルサインオンプロセスの管理や認証ユーザーのアクセス権の付与において重要な役割を果たしています。Tenable.ad は、エージェントをデプロイしたり権限のあるアカウントを使用せずに、既存の脆弱性を見つけて修正し、進行中の攻撃をリアルタイムで検出できるようにする包括的な AD セキュリティ対策を提供します。また、業界をリードするリスクベースの脆弱性管理ソリューションと組み合わせると、Tenable.ad は攻撃経路をブロックし、攻撃者が足場を確立できないようにします。

現在、弊社では AD セキュリティ対策をさらに強化しています。Nessus には 10 件の脆弱性に対する基本的な AD チェックが直接組み込みまれています。Nessus Essentials、Nessus Professional、Tenable.sc、Tenable.io、およびTenable.ep を利用すると、一般的に悪用される可能性のある脆弱性を検出し、資格情報を保護し、権限昇格を防ぐことができます。これらのプラグインのチェックは、一般的に以下の 2 つのカテゴリに分類されます。

  1. パスワードと資格情報の保護:攻撃者がブルートフォース攻撃で資格情報を取得したり、他のユーザーやアカウントになりすましたりするのを防ぎます。
  2. 権限昇格と横方向への移動の防止:攻撃者が過剰な権限を取得し、ドメイン間を移動するのを防止します。

AD プラグインの完全なリストは次のとおりです。

パスワードと資格情報の保護

プラグイン名 説明
Kerberoasting ドメイン管理者またはエンタープライズ管理者アカウントは、Kerberoasting 攻撃に対して脆弱です。
  • Kerberoasting はパスワードを解読する攻撃であり、最終的には攻撃者が正当なユーザーになりすますことができます。攻撃者は通常、管理者アカウントに対してこの方法を利用して、横方向へ移動しドメインコントローラーにアクセスします。
  • このチェックは、管理者アカウントがそのような攻撃に対して脆弱でないことを確認します。
Kerberosの弱い暗号化 ユーザーアカウントで Kerberos の暗号化が弱い場合、資格情報が攻撃者により取得される可能性があります。
  • Kerberos は、ブルートフォース攻撃に対して脆弱な古い暗号化プロトコルをまだサポートしています。攻撃者は、そのような古いプロトコルを体系的に探して、ユーザーの資格情報を取得します。
  • このチェックにより、Kerberos認証に脆弱な暗号化プロトコルが利用されていないことを確認できます。
Kerberos の事前認証の検証 ユーザーアカウントで Kerberosの事前認証が無効になっていると、資格情報が盗まれる可能性があります。
  • 攻撃者は、事前認証が無効になっているアカウントを定期的に標的にし、パスワードを推測するために、AS-REP Roasting 攻撃を実行します。
  • このチェックは、事前認証ハンドシェイクを実装していないために、パスワードが盗難されやすいアカウントを特定します。
有効期限がないアカウントのパスワード ユーザーアカウントのパスワードが更新されない可能性があります。
  • AD アカウントは、グローバルなパスワード更新ポリシーを回避するように設定できるため、最も基本的なサイバー衛生管理のベストプラクティスに違反し、攻撃者によりパスワードが推測されやすくなります。
  • このチェックは、このような有効期限のないパスワード属性をもつユーザーと管理者を特定します。
委任設定が制限されていない コンピューターアカウントに対する委任設定が制限されていない場合、サイバー犯罪者により資格情報が取得される可能性があります。
  • コンピュータ アカウントに対する委任設定が「コンピュータを委任に対して信頼する」になっている場合、ユーザーが認証を行うとユーザーの資格情報のコピーがドメインコントローラーによってサーバーに送信されます。攻撃者は、委任に対して信頼されている脆弱なサーバーを定期的に探し、サーバーを危険にさらし、最終的にドメインを乗っ取るために必要なすべての資格情報を取得します。
  • このチェックでは、「コンピュータを委任に対して信頼する」プロパティがドメインコントローラーなどの信頼できるサーバーでのみ許可されていることを確認します。
Null セッション 「匿名」および「Everyone」グループは、「Pre-Windows 2000 Compatible Access」の一部で、この脆弱性を突くと Null セッション攻撃が可能になります。
  • 「Pre-Windows 2000 Compatible Access」グループは、ほとんどのドメインデータに対する読み取り権限を持つ下位互換性メカニズムです。デフォルトでは、このグループは認証されていないユーザーにアクセス権を与えるため、攻撃者は標的を検出し、ブルートフォース攻撃を実行する可能性があります。
  • このチェックでは、セキュリティのベストプラクティスに従って、「Pre-Windows 2000 Compatible Access」の使用を確認します。

権限昇格と横方向への移動の防止

プラグイン名 説明
Kerberos KRBTGT Kerberos はマスターキーが更新されていない場合、バックドアとして使用される可能性があります。
  • すべての AD ドメインには、KRBTGT と呼ばれる特に強力なアカウントがあります。このアカウントは文字通りドメイン内のすべてのキーなので、攻撃者にとって非常に貴重な標的です。
  • このチェックは、ベストプラクティスで推奨されているように、このマスターキーが少なくとも 2 年に 1 回更新されるように設定されていることを確認します。
危険な信頼関係 AD ドメイン間の信頼関係で、セキュリティ保護がアクティブ化されていない場合、横方向の移動が可能になります。
  • 信頼関係は、AD の動作に不可欠であり、正当な横方向への移動を可能にすることを目的としています。犯罪者は通常、このメカニズムを悪用して横方向へ移動します。
  • このチェックは、正当な信頼関係を悪用することを目的とした 2つの一般的な攻撃シナリオ、SID 履歴の挿入とプリンタのバグの悪用の可能性を確認します。
プライマリグループIDの整合性 ユーザーアカウントでグループIDを使用する可能性のあるバックドアを見つけます。
  • プライマリグループIDは、従来のグループメンバーシップ設定をサポートしていないレガシー UNIX アプリケーションに対応するために作成された AD 機能です。プライマリグループ ID は、管理者やツールによって見落とされることが多く、攻撃者はこの脆弱性を突いてグループの正式なメンバーでなくても権限を昇格する可能性があります。
  • このチェックでは、セキュリティのベストプラクティスに従って、プライマリグループ IDメカニズムの使用を確認します。
空白のパスワード ドメインでユーザーアカウントを認証するためのパスワードが空白のままの場合があります。
  • パスワードのないアカウントは、権限昇格をねらう攻撃者にとって魅力的な標的です。
  • このチェックは、そのようなアカウントが存在しないことを確認します。

新しい AD プラグインに加えて、これらの基本的な AD の脆弱性を簡単に発見して分析できるように、新しいスキャンテンプレート (Active Directory Starter Scan) と事前設定されたダッシュボード (Getting Started with Active Directory Security) も作成しました。新しい AD プラグインとスキャンテンプレートは、Nessus Essentials、Nessus Professional、Tenable.sc、Tenable.io、Tenable.ep で利用できます。新しい事前設定された AD セキュリティダッシュボードは、本日からTenable.sc で利用可能です。Tenable.io および Tenable.ep では 8 月 5 日に利用可能になります。

How to find and fix 10 Active Directory Misconfigurations using Nessus_1

Tenable は、AD セキュリティをサポートするための新しいスキャンテンプレートを作成しました。

How to find and fix 20 Active Directory Misconfigurations using Nessus_1

AD セキュリティ対策をはじめるための新しい事前設定済みのTenableダッシュボードの例。

Nessus スキャンエンジンのこれらの新しい AD セキュリティ機能は、より包括的な AD セキュリティ対策をはじめる前のステップとして攻撃経路をブロックします。

AD セキュリティに関して朗報がもう一つあります。緊急な IOA (Indicator Of Attack) をより迅速に検出するのに役立つ複数の機能強化を備えた Tenable.ad 3.1がリリースされました。新しいフィルタと視覚化は、悪意のある動作を迅速に判別し、攻撃をブロックするのに役立ちます。

もっと詳しく

  • これらの新しい AD プラグイン(Tenable.ioTenable.scNessus) の詳細については、近日開催されるカスタマーアップデート Web セミナーにご登録ください。
  • AD セキュリティの詳細を確認、または、Tenable.ad のデモをリクエストするには、https://www.tenable.com/products/tenable-ad をご覧ください。

関連記事

最新のサイバー攻撃に対して脆弱ではありませんか?

下にメールアドレスをご記入ください。最新の情報が確認できる Cyber Exposure アラートがインボックスに送信されます。

tenable.io

最新のクラウドベースの脆弱性管理プラットフォームにフルアクセスし、これまでにない精度で全資産の表示および追跡が可能です。

Tenable.cs Cloud Security トライアルには Tenable.io Vulnerability Management、Tenable Lumin、Tenable.io Web Application Scanning も含まれています。

tenable.io 購入

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

65 資産

サブスクリプションオプションを選択してください。

今すぐ購入する

Nessus Professional を無料で試す

7 日間無料

Nessus® は、最も包括的な脆弱性スキャナーです。Nessus Professional は脆弱性のスキャンプロセスを自動化し、コンプライアンスサイクルを短縮し、お客様の IT チームが専念して活動できるようにします。

Nessus Professionalを購入する

Nessus® は、最も包括的な脆弱性スキャナーです。Nessus Professional は脆弱性のスキャンプロセスを自動化し、コンプライアンスサイクルを短縮し、お客様の IT チームが専念して活動できるようにします。

複数年ライセンスをご購入いただくと割引が適用されます。拡張サポートを追加すると、24 時間x365 日、電話、コミュニティ、チャットサポートにアクセスできます。

ライセンスをお選びください

複数年ライセンスをご購入いただくと割引が適用されます。

サポートとトレーニングを追加

Tenable.io

最新のクラウドベースの脆弱性管理プラットフォームにフルアクセスし、これまでにない精度で全資産の表示および追跡が可能です。

Tenable.cs Cloud Security トライアルには Tenable.io Vulnerability Management、Tenable Lumin、Tenable.io Web Application Scanning も含まれています。

Tenable.io を購入する

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

65 資産

サブスクリプションオプションを選択してください。

今すぐ購入する

Tenable.io Web Application Scanningを試す

Tenable.ioプラットフォームの一部として最新のアプリケーション用に設計された、最新のウエブアプリケーションのスキャンサービスの全機能にアクセス可能です。手作業による労力や重大なウエブアプリケーションの中断なしに、脆弱性のオンラインポートフォリオを安全に高精度でスキャンします。 今すぐサインアップしてください。

Tenable.cs Cloud Security トライアルには Tenable.io Vulnerability Management、Tenable Lumin、Tenable.io Web Application Scanning も含まれています。

Tenable.io Web Application Scanningを購入する

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

5 FQDN

3,578ドル

今すぐ購入する

Tenable.io Container Securityを試す

脆弱性管理プラットフォームに統合された唯一のコンテナセキュリティ製品の全機能にアクセス可能です。コンテナイメージの脆弱性、マルウェア、ポリシー違反を監視継続的インテグレーション/継続的デリバリー(CI / CD)システムと統合し、DevOps プラクティス、セキュリティ強化、および企業のポリシーコンプライアンスをサポートします。

Tenable.io Container Securityを購入する

Tenable.ioのContainer Securityは、ビルドプロセスと統合することにより、コンテナイメージのセキュリティ(脆弱性、マルウェア、ポリシー違反など)を可視化し、シームレスかつ安全なDevOpsプロセスを実現します。

Tenable Lumin を試用する

Tenable Lumin を使用して、Cyber Exposure を可視化および調査し、リスクの軽減を追跡し、競合他社に対してベンチマークしましょう。

Tenable.cs Cloud Security トライアルには Tenable.io Vulnerability Management、Tenable Lumin、Tenable.io Web Application Scanning も含まれています。

Tenable Lumin を購入する

Tenableの担当者にお問い合わせいただき、企業全体に対するインサイトを得て、サイバーリスクを管理する上で Lumin がいかに役立つかについて、Tenable の営業担当者までお問い合わせください。

Tenable.cs を試してみる

製品のすべての機能にアクセスして、クラウドインフラの設定ミスを検出、修正して、実行段階の脆弱性を表示できます。今すぐ無料トライアルにご登録ください。

Tenable.cs Cloud Security トライアルには Tenable.io Vulnerability Management、Tenable Lumin、Tenable.io Web Application Scanning も含まれています。

営業担当者に問い合わせて Tenable.cs

Tenable.cs Cloud Security について詳しくは営業担当者にお問い合わせください。クラウドアカウントのオンボーディングは簡単で、数分でクラウドの設定ミスと脆弱性が把握できます。

Nessus Expert を無料で試す

7 日間無料

最新のアタックサーフェス用に構築された Nessus Expert を使用すると、拡大された領域が可視化でき、IT やクラウド資産に潜む脆弱性から企業を保護できます。

すでに Nessus Professional をご使用ですか?
Nessus Expert にアップグレードすると、7 日間無料でご利用いただけます。

Nessus Expert を購入する

最新のアタックサーフェス用に構築された Nessus Expert を使用すると、拡大された領域が可視化でき、IT やクラウド資産に潜む脆弱性から企業を保護できます。

ライセンスをお選びください

プロモーション価格は 9 月 30 日に終了します。
複数年ライセンスの場合、よりお求めやすい価格でご購入いただけます。

サポートとトレーニングを追加