インジケーター
Tenable Identity Exposure は、アイデンティティの肥大化を抑え、攻撃者が攻撃経路を悪用する前に防御を固めて攻撃経路を遮断する機能を備えた、アイデンティティセキュリティポスチャーマネジメント (ISPM) ツールです。Active Directory や、Entra ID、Okta などのクラウドアイデンティティプロバイダーを継続的に分析し、設定ミス、過剰な権限、リスクの高い信頼関係を発見します。リアルタイムの露出インジケーターと攻撃インジケーターにより、Tenable はハイブリッド環境全体のアイデンティティリスクを詳細に可視化し、侵害状況が拡大する前に、最重要項目から優先的に対処できるようにします。
検索
攻撃インジケーター ›
DCShadow
critical
DCShadow は、後期段階の別の kill chain 攻撃です。この攻撃では、特権認証情報を持つ攻撃者が、ドメインレプリケーションによりドメインに任意の変更 (例: 禁止されている sidHistory 値を適用する) をプッシュするために、ローグドメインコントローラーを登録します。
ローカル管理者の列挙
low
ローカル管理者グループが、おそらく BloodHound/SharpHound を使用して、SAMR RPC インターフェースで列挙されました。
Zerologon エクスプロイト
critical
Zerologon と呼ばれる脆弱性は、Microsoft から CVSS / 10.0 スコアを受けた Windows Server の重大な脆弱性 (CVE-2020-1472) と関連しています。それは、攻撃者が Netlogon リモートプロトコル (MS-NRPC) を使用して、ドメインコントローラーへの脆弱な Netlogon セキュアチャネル接続を確立する場合に存在する権限の昇格で構成されています。この脆弱性により、攻撃者がドメインを侵害し、ドメイン管理者権限を取得する可能性があります。
不審な DC パスワードの変更
critical
Zerologon と名付けられた重大な CVE-2020-1472 は、Netlogon プロトコルの暗号化の欠陥を悪用する攻撃であり、攻撃者は任意のコンピューターと同様にドメインコントローラーを使用して Netlogon の安全なチャネルを確立できます。そこから、ドメインコントローラーアカウントのパスワード変更、強制認証、DCSync 攻撃など、複数の侵入後のテクニックを使用して権限昇格を実現する可能性があります。ZeroLogon エクスプロイトは、実際の Netlogon 偽装認証バイパス (IOA「Zerologon 悪用」により対処済み) を使用した侵入後の活動と混同されることがしばしばあります。このインジケーターは、Netlogon 脆弱性と合わせて利用できる侵入後の活動の 1 つ、すなわちドメインコントローラーマシンのアカウントパスワードの変更に焦点を当てています。
OS 認証情報のダンプ: LSASSメモリ
critical
ユーザーがログオンした後、ローカルセキュリティ機関サブシステムサービス (LSASS) のプロセスメモリに保存されている認証情報マテリアルに攻撃者がアクセスしようとすることがあります。
SAMAccountName なりすまし
critical
重大度の高い CVE-2021-42287 は、標準アカウントからのドメインの権限の昇格につながる可能性があります。この欠陥は、存在しない sAMAccountName 属性を持つオブジェクトを対象とするリクエストの不適切な処理によって生じます。ドル記号 ($) が見つからない場合、ドメインコントローラーは sAMAccountName 値の末尾にドル記号 ($) を自動的に追加します。これによって、標的のコンピューターアカウントのなりすましが生じる可能性があります。
NTDS 抽出
critical
NTDS 抽出とは、攻撃者が NTDS.dit データベースを取得するために使用する手法のことです。このファイルには、パスワードハッシュや Kerberos キーなどの Active Directory シークレットが格納されます。一度アクセスできれば、攻撃者はこのファイルのコピーをオフラインで解析し、Active Directory の機密性の高いコンテンツを取得するための DCSync 攻撃に代わる手段が使用できるようになります。
パスワードスプレー
medium
パスワードスプレーは、よく使われる少数のパスワードを使用して、大量のアカウント (ユーザー名) にアクセスしようとする攻撃です。low-and-slow 方式とも呼ばれます。
PetitPotam
critical
PetitPotamツールを使用すると、ターゲットマシンの認証をリモートシステムに強制し、通常はNTLMリレー攻撃を実行できます。PetitPotam がドメインコントローラーを標的としている場合、攻撃者はドメインコントローラーの認証をリレーする別のネットワークマシンに対して認証を行うことができます。
DPAPI ドメインバックアップキー抽出
critical
DPAPI ドメインバックアップキーは、DPAPI シークレットのリカバリに不可欠な要素です。LSARPC コールを使ってドメインコントローラーからこれらのキーを抽出しようとする、さまざまな攻撃ツールが存在します。Microsoft はこれらのキーをローテーションさせたり、変更したりするためのサポートされたメソッドがないことを認識しています。そこで、ドメインの DPAPI バックアップキーが侵害された場合は、新しいドメイン全体を一から作成することを推奨していますが、これにはコストと時間がかかります。
すべての攻撃インジケーターを見る ›
露出インジケーター ›
動的オブジェクトの設定ミスと使用
medium
動的オブジェクトと、それに関連する安全でない設定を検出します。
BadSuccessor の危険な dMSA アクセス許可
critical
BadSuccessor は、dMSA を悪用する Windows Server 2025 の Active Directory 権限昇格の欠陥であり、攻撃者がアカウントリンクを操作してドメインを侵害する可能性があります。
不必要なグループ
low
空のグループや、メンバーが 1 人だけのグループがないことを確認します。
機密性の高い Exchange のアクセス許可
critical
Exchange リソースに影響を与える、または Exchange グループに割り当てられている、安全でない可能性のあるアクセス許可を特定します。
Microsoft がサポートしなくなった古い Exchange サーバーや、最新の累積更新プログラムが適用されていない Exchange サーバーを検出します。
Exchange リソースまたはその基盤となる Active Directory スキーマオブジェクトに影響を与える設定ミスをリストします。
Microsoft Entra ID と同期されているリソースについて、オンプレミスの Active Directory 環境からハイブリッドユーザーやコンピューターなどの情報を収集します。
機密性の高い Exchange グループ内の異常なアカウント
サービスアカウントの設定ミス
medium
ドメインサービスアカウントの潜在的な設定ミスを表示します。
重複している (競合する) ユーザー、コンピューター、グループがないことを確認します。