検出

不審な「ディレクトリ同期アカウント」ロールの割り当て

HIGH

Language:

説明

Entra ID の「ディレクトリ同期アカウント」ビルトインロールが Entra サービスアカウントに割り当てられています。「Microsoft Entra Connect」(旧 「Azure AD Connect」) または「[Microsoft Entra Cloud Sync(https://learn.microsoft.com/ja-jp/entra/identity/hybrid/cloud-sync/what-is-cloud-sync)]」(旧「Azure AD Connect Cloud Sync」) は、このサービスアカウントを使って、オンプレミスの Active Directory からクラウド Entra ID へのディレクトリ同期を許可します。

攻撃者は、権限昇格​や永続性​を取得するために、このロールを、自分のコントロール下に入れたセキュリティプリンシパル (ユーザー、サービスプリンシパル、グループなど) に割り当てます。特に、このロールは次の理由で攻撃者の関心を引く可能性があります。

  • このロールは機密性の高い複数の Entra ID アクセス許可を付与する。
  • Entra ID 管理者は通常このロールを割り当てないため、Azure と Entra の両方のポータル内で非表示のままになり、Entra ロールのリストやセキュリティプリンシパルの「割り当てられたロール」セクションには表示されない。このステルス性の高い特性により、隠れた攻撃を実行するための有効な手段となります。

この悪用の可能性は、次の Tenable Research ブログ投稿で説明されています。Stealthy Persistence with "Directory Synchronization Accounts" Role in Entra ID (Entra ID の「ディレクトリ同期アカウント」ロールによるステルス性の高い永続化)

この露出インジケーター (IoE) は、ヒューリスティック検知を複数使用して、この危険なロールが割り当てられた不審なセキュリティプリンシパル (特に Microsoft Entra Connect や Microsoft Entra Cloud Sync の典型的な Entra サービスアカウントと一致しない場合) を検出します。

ソリューション

まず、特定された不審なセキュリティプリンシパルの正当性の評価​から始めます。

  • Entra テナントがハイブリッドではない (つまり、Active Directory と同期していない) 場合は、このロールを割り当てないでください。報告されたセキュリティプリンシパルは、テナントがある時点でハイブリッドだった時の残物であるか、不正であるかのいずれかです。
  • これはユーザータイプのセキュリティプリンシパルですか?サービスプリンシパルまたはグループにこのロールが割り当てられている正当なケースはありません。
  • このセキュリティプリンシパルはいつ作成されましたか?その日付は、実際に「Microsoft Entra Connect」または「Microsoft Entra Cloud Sync」でディレクトリ同期をセットアップした日と一致していますか?
  • 監査ログ: このセキュリティプリンシパルは、ユーザーの更新、作成、削除、パスワード変更などのディレクトリ同期タスクを定期的に実行していますか?
  • サインインログ: このセキュリティプリンシパルは、組織に属していそうな IP アドレスから定期的に認証していますか?
  • Microsoft Entra Connect を使用している場合、そのユーザープリンシパル名に、実際に想定されるオンプレミスの Microsoft Entra Connect サーバー名が含まれていますか?(たとえば、サーバーが「AADCONNECT」という名前の場合は、「Sync_AADCONNECT_@...」というユーザープリンシパル名が想定できます)。想定される表示名「オンプレミスディレクトリ同期サービスアカウント」がありますか?

侵害が疑われる場合

  • フォレンジック調査を実施​して疑わしい攻撃を確認し、攻撃時刻と攻撃者を特定し、潜在的な侵入の範囲を評価します。
  • 監査ログを確認して​、潜在的な悪質性をもたらす行動を特定します。

「ディレクトリ同期アカウント」ロールも、それを割り当てられているセキュリティプリンシパルも、Azure ポータルには表示されません。それらを表示するには、Microsoft Graph PowerShell コマンドレット または API など、他の直接的な方法を使う必要があります。

Connect-MgGraph -Scopes "RoleManagement.Read.All"
Get-MgDirectoryRoleMember -DirectoryRoleId (Get-MgDirectoryRole -Filter "RoleTemplateId eq 'd29b2b05-8046-44ba-8758-1e26182fcf32'").Id | Format-List *

または、現在は廃止されている Azure AD PowerShell コマンドレットを使用することもできます。

Connect-AzureAD
Get-AzureADDirectoryRole -Filter "RoleTemplateId eq 'd29b2b05-8046-44ba-8758-1e26182fcf32'" | Get-AzureADDirectoryRoleMember

最後に、特定されたセキュリティプリンシパルにこのロールが割り当てられている正当な理由がなく、Microsoft Entra Connect も Microsoft Entra Cloud Sync も使用していない場合は、このロールの割り当てを削除してください。削除するには、Remove-AzureADDirectoryRoleMember Azure AD PowerShell コマンドレット、または Remove-MgDirectoryRoleMemberByRef Microsoft Graph PowerShell コマンドレットを実行します。

インジケーターの詳細

名前: 不審な「ディレクトリ同期アカウント」ロールの割り当て

コード名: SUSPICIOUS-DIRECTORY-SYNCHRONIZATION-ACCOUNTS-ROLE-ASSIGNMENT

深刻度: High

タイプ: Microsoft Entra ID Indicator of Exposure

MITRE ATT&CK 情報: